FastViewer
Το Kimsuki APT (Advanced Persistent Threat) συνεχίζει να επεκτείνει το οπλοστάσιό του με απειλητικά εργαλεία. Η ομάδα πιστεύεται ότι έχει δεσμούς με τη Βόρεια Κορέα και, τουλάχιστον από το 2012, στοχεύει άτομα και οργανισμούς από τη Νότια Κορέα, την Ιαπωνία και τις ΗΠΑ. διπλωματίας και πολιτικών τομέων.
Λεπτομέρειες σχετικά με τις νέες απειλές κακόβουλου λογισμικού της ομάδας Kimsuki (Thallium, Black Banshee, Velvet Chollima) δόθηκαν στη δημοσιότητα σε μια έκθεση ερευνητών κυβερνοασφάλειας σε εταιρεία κυβερνοασφάλειας της Νότιας Κορέας. Οι ερευνητές κατάφεραν να εντοπίσουν τρεις κινητές απειλές που παρακολουθούνται ως FastFire, FastViewer και FastSpy.
Τεχνικές λεπτομέρειες FastViewer
Η απειλή FastViewer διαδίδεται μέσω μιας τροποποιημένης εφαρμογής «Hancom Office Viewer». Το νόμιμο εργαλείο λογισμικού είναι ένα κινητό πρόγραμμα προβολής εγγράφων που επιτρέπει στους χρήστες να ανοίγουν Word, PDF, .hwp (Hangul) και άλλα έγγραφα. Η πραγματική εφαρμογή έχει πάνω από 10 εκατομμύρια λήψεις στο Google Play Store. Οι χάκερ Kimsuki πήραν την κανονική εφαρμογή Hancom Office Viewer και την επανασυσκευάστηκαν ώστε να περιλαμβάνει πλέον αυθαίρετο κατεστραμμένο κώδικα. Ως αποτέλεσμα, η έκδοση με όπλα έχει όνομα πακέτου, όνομα εφαρμογής και εικονίδιο που είναι εξαιρετικά παρόμοια με την πραγματική εφαρμογή. Το FastViewer είναι εξοπλισμένο με πιστοποιητικό σε μορφή πιστοποιητικού που βασίζεται σε Java jks .
Κατά την εγκατάσταση, η απειλή θα εκμεταλλευτεί τα δικαιώματα προσβασιμότητας του Android, καθώς αυτά απαιτούνται για τη διευκόλυνση πολλών από τις απειλητικές του ενέργειες. Εάν ικανοποιηθούν τα αιτήματα του κακόβουλου λογισμικού, το FastViewer θα μπορεί να λαμβάνει εντολές από τους χειριστές του, να δημιουργεί μηχανισμούς επιμονής στη μολυσμένη συσκευή και να ξεκινά ρουτίνες κατασκοπείας.
Η απειλητική συμπεριφορά του κακόβουλου λογισμικού ενεργοποιείται όταν η τροποποιημένη εφαρμογή χρησιμοποιείται για τη σάρωση ενός εγγράφου που έχει δημιουργηθεί ειδικά από κυβερνοεγκληματίες Kimsuki. Το αρχείο θα μετατραπεί σε ένα κανονικό έγγραφο και θα εμφανιζόταν στον χρήστη, ενώ η βλαβερή συμπεριφορά λαμβάνει χώρα στο παρασκήνιο της συσκευής. Η απειλή θα συλλέξει πολλές πληροφορίες από τη συσκευή και θα τις διοχετεύσει στον διακομιστή Command-and-Control. Επιπλέον, μία από τις κύριες λειτουργίες του FastViewer είναι η ανάκτηση και ανάπτυξη της τρίτης αναγνωρισμένης απειλής Kimsuky - FastSpy. Αυτό το επιβλαβές εργαλείο παρουσιάζει πολλαπλά χαρακτηριστικά που είναι μάλλον παρόμοια με ένα κακόβουλο λογισμικό RAT ανοιχτού κώδικα, γνωστό ως AndroSpy.
FastViewer βίντεο
Συμβουλή: Ενεργοποιήστε τον ήχο σας και παρακολουθήστε το βίντεο σε λειτουργία πλήρους οθόνης .
