FastSpy

Med Mezo i Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Oversæt til:

Kimsuki APT-gruppen (Advanced Persistent Threat) fortsætter med at udvide sit arsenal af truende værktøjer. Den seneste identificerede tilføjelse er en trio af mobile trusler, der bruges i angrebskampagner rettet mod ofres Android-enheder. Detaljer om de hidtil ukendte skadelige trusler, der nu spores som FastFire , FastViewer og FastSpy, blev frigivet i en rapport af malware-forskere fra et sydkoreansk cybersikkerhedsfirma.

Kimsuki-hackergruppen menes at være støttet af Nordkorea. Dets aktiviteter kan spores så langt tilbage som 2012, og dets mål har konsekvent været placeret i Sydkorea, Japan og USA. Hackerne har for det meste gennemført cyberspionagekampagner, der har til formål at indsamle følsomme oplysninger fra enkeltpersoner eller organisationer involveret i politik, diplomati, medie- eller forskningssektorer.

FastSpy Analyse

FastSpy-truslen implementeres på de inficerede enheder af det tidligere implanterede FastViewer. FastSpys primære funktion er at give angriberne fjernstyring over ofrets enhed. Truslen er i stand til at erhverve yderligere privilegier ved at misbruge de samme Android Accessibility API-privilegier, som FastViewer forsøger at opnå. Det opnås ved at vise en pop-up, der anmoder om den nødvendige tilladelse, og derefter simuleres et klik på knappen 'Acceptér'. Der kræves ingen interaktion fra brugeren. Metoden udviser flere karakteristika, der ligner det, der tidligere er blevet observeret i Malibot malware-truslen, som en måde at omgå Googles MFA (multi-factor authentication).

FasSpys påtrængende muligheder inkluderer kapring af telefonen, indsamling af SMS-oplysninger, sporing af enhedens placering og overvågning af kamera, mikrofon, højttaler, praktiserende læger og andre funktioner i realtid. Kimsuki-hackerne kan også bruge truslen til at få adgang til filer på enheden og eksfiltrere dem til operationens Command-and-Control-server. Det skal påpeges, at S2W's forskere bekræftede flere ligheder i metodenavnet, meddelelsesformatet, koden, funktionerne osv. mellem FastSpy og en open source RAT (Remote Access Trojan) kendt AndroSpy.