FastFire

Aastaks Mezo aastal Mobile Malware, Advanced Persistent Threat (APT)

Tõlgi:

APT (Advanced Persistent Threat) rühmitus Kimsuki on küberturbeekspertide järelduste kohaselt oma pahatahtlikku arsenali veelgi laiendanud, lisades kolm uut pahavaraohtu. Ründetööriistu analüüsisid Lõuna-Korea küberjulgeolekufirma teadlased ning neile anti nimed FastFire , FastViewer ja FastSpy.

Kimsuki häkkerite rühmitus (Thallium, Black Banshee, Velvet Chollima) on arvatavasti tegutsenud vähemalt 2012. aastast ja paistab, et seda toetab Põhja-Korea valitsus. Selle ründeoperatsioonid on peamiselt keskendunud üksikutele sihtmärkidele või organisatsioonidele, mis asuvad Lõuna-Koreas, Jaapanis ja USA-s. Ähvarduskampaaniate näiline eesmärk on koguda tundlikku teavet meedias, poliitikas, uurimistöös ja diplomaatia valdkonnas töötavatelt ohvritelt.

FastFire üksikasjad

FastFire'i oht on mobiilne oht, mis näitab märke, et see on endiselt aktiivses arenduses. Ähvardav APK maskeeritakse Google'i turbepistikprogrammina. Pärast Android-seadmesse installimist peidab FastFire oma käivitiikooni, et vältida ohvri tähelepanu äratamist. Pahavara edastab seejärel seadme tokeni operatsiooni Command-and-Control (C&C, C2) serveritele ja ootab, kuni käsk saadetakse tagasi. Nakatunud seadme ja C&C serverite vaheline side toimub Firebase Base Messaging (FCM) kaudu. Firebase on mobiilne arendusplatvorm, mis pakub mitmeid olulisi funktsioone, sealhulgas sisu reaalajas hostimine, andmebaasid, teatised, sotsiaalne autentimine ja palju muid funktsioone.

FastFire'i esmane ülesanne näib olevat sügava lingi helistamise funktsiooni täitmine. Kuid uurimise hetkel ei olnud seda funktsiooni täielikult rakendatud. Teadlased märgivad ka mitmete klasside olemasolu, mida üldse ei täideta.