FastViewer

El Kimsuki APT (Amenaça persistent avançada) continua ampliant el seu arsenal d'eines amenaçadores. Es creu que el grup té vincles amb Corea del Nord i, almenys des del 2012, s'ha dirigit a individus i organitzacions de Corea del Sud, Japó i els Estats Units. Els pirates informàtics s'especialitzen en campanyes d'atac de ciberespionatge, intentant infiltrar-se en entitats que treballen en mitjans de comunicació, investigacions, diplomàcia i sectors polítics.

Els detalls sobre les noves amenaces de programari maliciós del grup Kimsuki (Thallium, Black Banshee, Velvet Chollima) es van donar a conèixer al públic en un informe d'investigadors de ciberseguretat d'una empresa de ciberseguretat de Corea del Sud. Els investigadors van poder identificar tres amenaces mòbils rastrejades com FastFire, FastViewer i FastSpy.

Detalls tècnics de FastViewer

L'amenaça FastViewer es propaga mitjançant una aplicació modificada "Hancom Office Viewer". L'eina de programari legítima és un visualitzador de documents mòbil que permet als usuaris obrir Word, PDF, .hwp (Hangul) i altres documents. L'aplicació real té més de 10 milions de descàrregues a Google Play Store. Els pirates informàtics de Kimsuki han pres l'aplicació Hancom Office Viewer normal i l'han tornat a empaquetar per incloure ara codi corrupte arbitrari. Com a resultat, la versió armada té un nom de paquet, un nom d'aplicació i una icona que són molt semblants a l'aplicació real. FastViewer està equipat amb un certificat en el format de certificat basat en Java jks .

Durant la instal·lació, l'amenaça explotarà els permisos d'accessibilitat d'Android, ja que són necessaris per facilitar moltes de les seves accions amenaçadores. Si s'accepten les sol·licituds del programari maliciós, FastViewer podrà rebre ordres dels seus operadors, establir mecanismes de persistència al dispositiu infectat i iniciar rutines d'espionatge.

El comportament amenaçador del programari maliciós s'activa quan l'aplicació modificada s'utilitza per escanejar un document dissenyat especialment pels cibercriminals de Kimsuki. El fitxer es convertiria en un document normal i es mostraria a l'usuari, mentre que el comportament nociu té lloc en segon pla del dispositiu. L'amenaça recopilarà nombrosa informació del dispositiu i l'exfiltrarà al seu servidor d'ordres i control. A més, una de les principals funcionalitats de FastViewer és buscar i desplegar la tercera amenaça Kimsuky identificada: FastSpy. Aquesta eina perjudicial presenta múltiples característiques que són força similars a un programari maliciós RAT de codi obert, conegut com AndroSpy.

FastViewer Vídeo

Consell: activa el so i mira el vídeo en mode de pantalla completa .

Tendència

Més vist

Carregant...