FastSpy

V roce Mezo v roce Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Přeložit do:

Skupina Kimsuki APT (Advanced Persistent Threat) pokračuje v rozšiřování svého arzenálu hrozivých nástrojů. Posledním identifikovaným přírůstkem je trojice mobilních hrozeb používaných v útočných kampaních zaměřených na zařízení Android obětí. Podrobnosti o dříve neznámých škodlivých hrozbách, které jsou nyní sledovány jako FastFire , FastViewer a FastSpy, byly zveřejněny ve zprávě výzkumníků malwaru z jihokorejské společnosti zabývající se kybernetickou bezpečností.

Předpokládá se, že skupina hackerů Kimsuki je podporována Severní Koreou. Její aktivity lze vysledovat již od roku 2012 a její cíle byly trvale lokalizovány v Jižní Koreji, Japonsku a USA. Hackeři většinou prováděli kyberšpionážní kampaně, jejichž cílem bylo shromažďovat citlivé informace od jednotlivců nebo organizací zapojených do politiky, diplomacie, atd. média nebo výzkumná odvětví.

FastSpy analýza

Hrozbu FastSpy nasazuje na infikovaná zařízení předchozí fáze implantátu FastViewer. Primární funkcí FastSpy je poskytnout útočníkům vzdálenou kontrolu nad zařízením oběti. Hrozba je schopna získat další oprávnění zneužitím stejných oprávnění API pro usnadnění přístupu pro Android, která se snaží získat FastViewer. Dosahuje toho zobrazením vyskakovacího okna požadujícího potřebné povolení a poté simulací kliknutí na tlačítko „Souhlasím“. Není vyžadována žádná interakce ze strany uživatele. Tato metoda vykazuje několik vlastností, které jsou podobné těm, které byly dříve pozorovány u malwarové hrozby Malibot , jako způsob, jak obejít MFA (vícefaktorové ověřování) společnosti Google.

Mezi rušivé schopnosti FasSpy patří únos telefonu, shromažďování informací SMS, sledování polohy zařízení a sledování kamery, mikrofonu, reproduktoru, GP a dalších funkcí v reálném čase. Hackeři Kimsuki také mohou využít hrozbu k přístupu k souborům na zařízení a exfiltrovat je na server Command-and-Control. Je třeba zdůraznit, že výzkumníci S2W potvrdili mnoho podobností v názvu metody, formátu zprávy, kódu, funkcích atd. mezi FastSpy a open-source RAT (Remote Access Trojan) známým AndroSpy.