FastSpy

Μέχρι το Mezo το Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Μετάφραση σε:

Η ομάδα Kimsuki APT (Advanced Persistent Threat) συνεχίζει να επεκτείνει το οπλοστάσιό της με απειλητικά εργαλεία. Η πιο πρόσφατη προσθήκη που εντοπίστηκε είναι μια τριάδα απειλών για κινητές συσκευές που χρησιμοποιούνται σε εκστρατείες επιθέσεων που στοχεύουν τις συσκευές Android των θυμάτων. Λεπτομέρειες σχετικά με τις προηγουμένως άγνωστες επιβλαβείς απειλές που παρακολουθούνται τώρα ως FastFire , FastViewer και FastSpy κυκλοφόρησαν σε μια αναφορά ερευνητών κακόβουλου λογισμικού από μια εταιρεία κυβερνοασφάλειας της Νότιας Κορέας.

Η ομάδα χάκερ Kimsuki πιστεύεται ότι υποστηρίζεται από τη Βόρεια Κορέα. Οι δραστηριότητές της μπορούν να εντοπιστούν ήδη από το 2012 και οι στόχοι της εντοπίζονται σταθερά στη Νότια Κορέα, την Ιαπωνία και τις ΗΠΑ. τομείς μέσων ενημέρωσης ή έρευνας.

Ανάλυση FastSpy

Η απειλή FastSpy αναπτύσσεται στις μολυσμένες συσκευές από το εμφύτευμα προηγούμενου σταδίου FastViewer. Η κύρια λειτουργία του FastSpy είναι να παρέχει στους εισβολείς απομακρυσμένο έλεγχο της συσκευής του θύματος. Η απειλή μπορεί να αποκτήσει πρόσθετα προνόμια κάνοντας κατάχρηση των ίδιων προνομίων API προσβασιμότητας Android που επιχειρεί να αποκτήσει το FastViewer. Αυτό επιτυγχάνεται με την εμφάνιση ενός αναδυόμενου παραθύρου που ζητά την απαραίτητη άδεια και στη συνέχεια προσομοιώνεται ένα κλικ στο κουμπί «Συμφωνώ». Δεν απαιτείται αλληλεπίδραση από τον χρήστη. Η μέθοδος παρουσιάζει πολλά χαρακτηριστικά που είναι παρόμοια με αυτά που έχουν παρατηρηθεί προηγουμένως στην απειλή κακόβουλου λογισμικού Malibot , ως τρόπο παράκαμψης του MFA (πολυπαραγοντικός έλεγχος ταυτότητας) της Google.

Οι παρεμβατικές δυνατότητες του FasSpy περιλαμβάνουν την πειρατεία του τηλεφώνου, τη συλλογή πληροφοριών SMS, την παρακολούθηση της θέσης της συσκευής και την παρακολούθηση της κάμερας, του μικροφώνου, του ηχείου, των GP και άλλων λειτουργιών σε πραγματικό χρόνο. Οι χάκερ Kimsuki μπορούν επίσης να χρησιμοποιήσουν την απειλή για να αποκτήσουν πρόσβαση σε αρχεία στη συσκευή και να τα διευρύνουν στον διακομιστή Command-and-Control της επιχείρησης. Πρέπει να σημειωθεί ότι οι ερευνητές του S2W επιβεβαίωσαν πολλαπλές ομοιότητες στο όνομα της μεθόδου, τη μορφή μηνύματος, τον κώδικα, τις λειτουργίες κ.λπ., μεταξύ του FastSpy και ενός ανοιχτού κώδικα RAT (Remote Access Trojan) γνωστό AndroSpy.