FastFire
Skupina APT (Advanced Persistent Threat) Kimsuki dále rozšířila svůj škodlivý arzenál přidáním tří nových malwarových hrozeb, podle zjištění expertů na kybernetickou bezpečnost. Útočné nástroje byly analyzovány výzkumníky z jihokorejské společnosti zabývající se kybernetickou bezpečností a dostaly názvy FastFire , FastViewer a FastSpy.
Předpokládá se, že skupina hackerů Kimsuki (Thallium, Black Banshee, Velvet Chollima) je aktivní minimálně od roku 2012 a zdá se, že ji podporuje severokorejská vláda. Její útočné operace se většinou soustředily na jednotlivé cíle nebo organizace nacházející se v Jižní Koreji, Japonsku a USA. Zřejmým cílem hrozivých kampaní je shromáždit citlivé informace od obětí pracujících v médiích, politice, výzkumu a diplomacii.
Podrobnosti FastFire
Hrozba FastFire je mobilní hrozba, která vykazuje známky toho, že je stále aktivní. Hrozivý soubor APK se vydává za bezpečnostní zásuvný modul Google. Po instalaci na zařízení Android FastFire skryje svou spouštěcí ikonu, aby nepřitahoval pozornost oběti. Malware poté odešle token zařízení na servery Command-and-Control (C&C, C2) operace a počká na odeslání příkazu zpět. Komunikace mezi infikovaným zařízením a servery C&C probíhá prostřednictvím Firebase Base Messaging (FCM). Firebase je mobilní vývojová platforma, která nabízí řadu základních funkcí, včetně hostování obsahu v reálném čase, databází, upozornění, sociální autentizace a mnoha dalších funkcí.
Zdá se, že primárním úkolem FastFire je provádění funkce volání přímých odkazů. V okamžiku výzkumu však tato funkce nebyla plně implementována. Výzkumníci také zaznamenali přítomnost několika tříd, které se vůbec neprovádějí.
FastFire Video
Tip: Zapněte zvuk ON a sledovat video v režimu celé obrazovky.