FastSpy

بواسطة Mezo في Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

ترجمة الى:

تواصل مجموعة Kimsuki APT (التهديد المستمر المتقدم) توسيع ترسانتها من أدوات التهديد. أحدث إضافة تم تحديدها هي ثلاثة من التهديدات المحمولة المستخدمة في حملات الهجوم التي تستهدف أجهزة Android للضحايا. تم نشر تفاصيل حول التهديدات الضارة غير المعروفة سابقًا والتي تم تتبعها الآن مثل FastFire و FastViewer و FastSpy في تقرير أعده باحثو البرامج الضارة من شركة للأمن السيبراني في كوريا الجنوبية.

يُعتقد أن مجموعة قراصنة Kimsuki مدعومة من قبل كوريا الشمالية. يمكن تتبع أنشطتها منذ عام 2012 وتم تحديد أهدافها بشكل ثابت في كوريا الجنوبية واليابان والولايات المتحدة.قام المتسللون في الغالب بحملات تجسس إلكتروني تهدف إلى جمع معلومات حساسة من الأفراد أو المنظمات المشاركة في السياسة والدبلوماسية ، وسائل الإعلام أو قطاعات البحث.

تحليل FastSpy

يتم نشر تهديد FastSpy على الأجهزة المصابة بواسطة غرسة FastViewer في المرحلة السابقة. تتمثل الوظيفة الأساسية لبرنامج FastSpy في تزويد المهاجمين بالتحكم عن بعد في جهاز الضحية. التهديد قادر على الحصول على امتيازات إضافية عن طريق إساءة استخدام نفس امتيازات واجهة برمجة التطبيقات لإمكانية الوصول في Android التي يحاول FastViewer الحصول عليها. يحقق ذلك من خلال عرض نافذة منبثقة تطلب الإذن المطلوب ثم يتم محاكاة نقرة على الزر "موافق". لا يلزم أي تدخل من المستخدم. تعرض الطريقة العديد من الخصائص التي تشبه ما تم ملاحظته سابقًا في تهديد البرامج الضارة Malibot ، كطريقة للتحايل على MFA من Google (المصادقة متعددة العوامل).

تشمل الإمكانات المتطفلة لـ FasSpy اختطاف الهاتف ، وجمع معلومات الرسائل القصيرة ، وتتبع موقع الجهاز ، ومراقبة الكاميرا والميكروفون ومكبر الصوت و GP ووظائف أخرى في الوقت الفعلي. يمكن للمتسللين من Kimsuki أيضًا استخدام التهديد للوصول إلى الملفات الموجودة على الجهاز ونقلها إلى خادم الأوامر والتحكم في العملية. وتجدر الإشارة إلى أن باحثي S2W أكدوا أوجه تشابه متعددة في اسم الطريقة ، وتنسيق الرسالة ، والرمز ، والوظائف ، وما إلى ذلك ، بين FastSpy و RAT (الوصول عن بعد Trojan) المعروف AndroSpy.