FastSpy

До Mezo през Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Toolsг

Превод на:

Групата Kimsuki APT (Advanced Persistent Threat) продължава да разширява своя арсенал от заплашителни инструменти. Последното идентифицирано допълнение е трио от мобилни заплахи, използвани в кампании за атаки, насочени към устройства с Android на жертвите. Подробности за неизвестните досега вредни заплахи, които сега се проследяват като FastFire , FastViewer и FastSpy, бяха публикувани в доклад от изследователи на зловреден софтуер от южнокорейска компания за киберсигурност.

Смята се, че хакерската група Kimsuki е подкрепяна от Северна Корея. Дейностите му могат да бъдат проследени още през 2012 г. и целите му постоянно са били локализирани в Южна Корея, Япония и САЩ. Хакерите са провеждали предимно кампании за кибершпионаж, които имат за цел да събират чувствителна информация от лица или организации, участващи в политиката, дипломацията, медийни или изследователски сектори.

Анализ на FastSpy

Заплахата FastSpy се внедрява на заразените устройства от имплантирания предишен етап FastViewer. Основната функция на FastSpy е да предостави на нападателите дистанционен контрол върху устройството на жертвата. Заплахата може да придобие допълнителни привилегии чрез злоупотреба със същите привилегии на API за достъпност на Android, които FastViewer се опитва да получи. Това се постига чрез показване на изскачащ прозорец с искане на необходимото разрешение и след това се симулира щракване върху бутона „Съгласен“. Не се изисква взаимодействие от потребителя. Методът показва няколко характеристики, които са подобни на това, което е било наблюдавано преди това при заплахата от зловреден софтуер Malibot , като начин за заобикаляне на MFA на Google (многофакторно удостоверяване).

Натрапчивите възможности на FasSpy включват отвличане на телефона, събиране на SMS информация, проследяване на местоположението на устройството и наблюдение на камерата, микрофона, високоговорителя, личните лекари и други функции в реално време. Хакерите на Kimsuki също могат да използват заплахата за достъп до файлове на устройството и да ги ексфилтрират в командно-контролния сървър на операцията. Трябва да се отбележи, че изследователите на S2W потвърдиха множество прилики в името на метода, формата на съобщението, кода, функциите и т.н. между FastSpy и RAT (троянски кон за отдалечен достъп) с отворен код, известен AndroSpy.