FastFire

Med Mezo i Mobile Malware, Advanced Persistent Threat (APT)

Oversæt til:

APT-gruppen (Advanced Persistent Threat) Kimsuki har yderligere udvidet sit ondsindede arsenal ved at tilføje tre nye malware-trusler, ifølge resultaterne af cybersikkerhedseksperter. Angrebsværktøjerne blev analyseret af forskerne hos et sydkoreansk cybersikkerhedsfirma og fik navnene FastFire , FastViewer og FastSpy.

Kimsuki-hackergruppen (Thallium, Black Banshee, Velvet Chollima) menes at have været aktiv siden mindst 2012 og ser ud til at være støttet af den nordkoreanske regering. Dets angrebsoperationer har for det meste været fokuseret på individuelle mål eller organisationer i Sydkorea, Japan og USA. Det tilsyneladende mål med de truende kampagner er at indsamle følsomme oplysninger fra ofrene, der arbejder inden for medier, politik, forskning og diplomati.

FastFire detaljer

FastFire-truslen er en mobiltrussel, der viser tegn på stadig at være under aktiv udvikling. Den truende APK forklæder sig som et Google-sikkerhedsplugin. Efter at være blevet installeret på Android-enheden, skjuler FastFire sit startikon for at undgå at tiltrække ofrets opmærksomhed. Malwaren vil derefter sende et enhedstoken til operationens Command-and-Control-servere (C&C, C2) og vente på, at en kommando sendes tilbage. Kommunikation mellem den inficerede enhed og C&C-serverne udføres via Firebase Base Messaging (FCM). Firebase er en mobil udviklingsplatform, der tilbyder adskillige væsentlige funktioner, herunder realtidshosting af indhold, databaser, notifikationer, social autentificering samt mange andre funktioner.

Den primære opgave for FastFire ser ud til at være udførelsen af en deep link calling funktion. Denne funktionalitet var dog ikke fuldt implementeret på forskningsøjeblikket. Forskerne bemærker også tilstedeværelsen af flere klasser, der slet ikke udføres.