FastSpy

El Mezo el Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Traduir a:

El grup Kimsuki APT (Advanced Persistent Threat) continua ampliant el seu arsenal d'eines amenaçadores. L'última incorporació identificada és un trio d'amenaces mòbils utilitzades en campanyes d'atac dirigides als dispositius Android de les víctimes. Els detalls sobre les amenaces nocives abans desconegudes que ara es fan un seguiment com a FastFire , FastViewer i FastSpy es van publicar en un informe d'investigadors de programari maliciós d'una empresa de ciberseguretat de Corea del Sud.

Es creu que el grup de pirates informàtics Kimsuki està recolzat per Corea del Nord. Les seves activitats es remunten al 2012 i els seus objectius s'han localitzat constantment a Corea del Sud, Japó i els EUA. Els pirates informàtics han dut a terme principalment campanyes de ciberespionatge que tenen com a objectiu recollir informació sensible d'individus o organitzacions implicades en la política, la diplomàcia, mitjans de comunicació o sectors de recerca.

Anàlisi FastSpy

L'amenaça FastSpy es desplega als dispositius infectats mitjançant l'implant de l'etapa anterior FastViewer. La funció principal de FastSpy és proporcionar als atacants control remot sobre el dispositiu de la víctima. L'amenaça és capaç d'adquirir privilegis addicionals abusant dels mateixos privilegis de l'API d'accessibilitat d'Android que FastViewer intenta obtenir. Això ho aconsegueix mostrant una finestra emergent que sol·licita el permís necessari i després es simula un clic al botó "Acceptar". No es requereix cap interacció de l'usuari. El mètode presenta diverses característiques que són similars al que s'ha observat anteriorment a l'amenaça de programari malibot de Malibot, com a forma d'eludir l'MFA (autenticació multifactor) de Google.

Les capacitats intrusives de FasSpy inclouen el segrest del telèfon, la recollida d'informació d'SMS, el seguiment de la ubicació del dispositiu i el seguiment de la càmera, el micròfon, l'altaveu, el metge de capçalera i altres funcions en temps real. Els pirates informàtics de Kimsuki també poden utilitzar l'amenaça per accedir als fitxers del dispositiu i exfiltrar-los al servidor de comandament i control de l'operació. Cal assenyalar que els investigadors de S2W van confirmar múltiples similituds en el nom del mètode, format del missatge, codi, funcions, etc., entre FastSpy i un RAT (troià d'accés remot) de codi obert conegut AndroSpy.