FastViewer

V roce Mezo v roce Mobile Malware, Remote Administration Tools

Přeložit do:

Kimsuki APT (Advanced Persistent Threat) nadále rozšiřuje svůj arzenál hrozivých nástrojů. Předpokládá se, že skupina má vazby na Severní Koreu a minimálně od roku 2012 se zaměřuje na jednotlivce a organizace z Jižní Koreje, Japonska a USA. Hackeři se specializují na kyberšpionážní útočné kampaně, snaží se infiltrovat subjekty pracující v médiích, výzkumu, diplomacie a politický sektor.

Podrobnosti o nových malwarových hrozbách skupiny Kimsuki (Thallium, Black Banshee, Velvet Chollima) byly zveřejněny ve zprávě výzkumníků kybernetické bezpečnosti v jihokorejské společnosti zabývající se kybernetickou bezpečností. Výzkumníci byli schopni identifikovat tři mobilní hrozby sledované jako FastFire, FastViewer a FastSpy.

Technické podrobnosti FastViewer

Hrozba FastViewer se šíří prostřednictvím upravené aplikace „Hancom Office Viewer“. Legitimním softwarovým nástrojem je mobilní prohlížeč dokumentů, který uživatelům umožňuje otevírat dokumenty Word, PDF, .hwp (Hangul) a další dokumenty. Skutečná aplikace má na Google Play Store přes 10 milionů stažení. Hackeři Kimsuki vzali normální aplikaci Hancom Office Viewer a přebalili ji tak, aby nyní obsahovala libovolný poškozený kód. Výsledkem je, že zbraňová verze má název balíčku, název aplikace a ikonu, které jsou extrémně podobné skutečné aplikaci. FastViewer je vybaven certifikátem ve formátu certifikátu jks Java.

Během instalace bude hrozba využívat přístupová oprávnění Androidu, protože jsou potřebná k usnadnění mnoha jejích ohrožujících akcí. Pokud budou žádosti malwaru vyhověny, bude FastViewer schopen přijímat příkazy od svých operátorů, zavést mechanismy perzistence na infikovaném zařízení a zahájit špionážní rutiny.

Hrozivé chování malwaru se aktivuje, když je upravená aplikace použita ke skenování dokumentu speciálně vytvořeného kyberzločinci Kimsuki. Soubor by byl převeden na běžný dokument a zobrazen uživateli, zatímco škodlivé chování se odehrává na pozadí zařízení. Hrozba bude shromažďovat četné informace ze zařízení a exfiltrovat je na svůj server Command-and-Control. Kromě toho je jednou z hlavních funkcí FastViewer načtení a nasazení třetí identifikované hrozby Kimsuky - FastSpy. Tento škodlivý nástroj vykazuje několik vlastností, které jsou spíše podobné open-source malwaru RAT, známému jako AndroSpy.