FastViewer

Med Mezo i Mobile Malware, Remote Administration Tools

Oversæt til:

Kimsuki APT (Advanced Persistent Threat) fortsætter med at udvide sit arsenal af truende værktøjer. Gruppen menes at have bånd til Nordkorea og har siden mindst 2012 været rettet mod enkeltpersoner og organisationer fra Sydkorea, Japan og USA. Hackerne er specialiseret i cyberspionageangrebskampagner, der forsøger at infiltrere enheder, der arbejder i medierne, forskning, diplomati og politiske sektorer.

Detaljer om de nye malware-trusler fra Kimsuki-gruppen (Thallium, Black Banshee, Velvet Chollima) blev frigivet til offentligheden i en rapport fra cybersikkerhedsforskere hos et sydkoreansk cybersikkerhedsfirma. Forskerne var i stand til at identificere tre mobile trusler sporet som FastFire, FastViewer og FastSpy.

FastViewer tekniske detaljer

FastViewer-truslen spredes via en modificeret 'Hancom Office Viewer'-applikation. Det legitime softwareværktøj er en mobil dokumentfremviser, der giver brugerne mulighed for at åbne Word, PDF, .hwp (Hangul) og andre dokumenter. Den rigtige applikation har over 10 millioner downloads i Google Play Butik. Kimsuki-hackerne har taget den normale Hancom Office Viewer-applikation og pakket den om til nu at inkludere vilkårlig beskadiget kode. Som et resultat har den bevæbnede version et pakkenavn, applikationsnavn og ikon, der er ekstremt lig den rigtige applikation. FastViewer er udstyret med et certifikat i det jks Java-baserede certifikatformat.

Under installationen vil truslen udnytte Androids tilgængelighedstilladelser, da de er nødvendige for at lette mange af dens truende handlinger. Hvis malware'ens anmodninger imødekommes, vil FastViewer være i stand til at modtage kommandoer fra sine operatører, etablere persistensmekanismer på den inficerede enhed og igangsætte spionagerutiner.

Den truende adfærd af malware aktiveres, når den modificerede applikation bruges til at scanne et dokument, der er specielt udformet af Kimsuki-cyberkriminelle. Filen ville blive konverteret til et normalt dokument og vist til brugeren, mens den sårende adfærd finder sted i baggrunden af enheden. Truslen vil indsamle adskillige oplysninger fra enheden og eksfiltrere den til dens Command-and-Control-server. Derudover er en af hovedfunktionerne i FastViewer at hente og implementere den tredje identificerede Kimsuky-trussel - FastSpy. Dette skadelige værktøj udviser flere egenskaber, der ligner en open source RAT malware, kendt som AndroSpy.