FastViewer

Aastaks Mezo aastal Mobile Malware, Remote Administration Tools

Tõlgi:

Kimsuki APT (Advanced Persistent Threat) jätkab oma ähvardavate tööriistade arsenali laiendamist. Rühmkonnal arvatakse olevat sidemed Põhja-Koreaga ning vähemalt 2012. aastast on see sihikule võtnud Lõuna-Korea, Jaapani ja USA üksikisikuid ja organisatsioone. Häkkerid on spetsialiseerunud küberspionaaži rünnakukampaaniatele, püüdes imbuda meedias, teadustöös, diplomaatia ja poliitiline sektor.

Üksikasjad Kimsuki grupi uute pahavaraohtude kohta (Thallium, Black Banshee, Velvet Chollima) avaldati avalikkusele Lõuna-Korea küberturvalisuse ettevõtte küberjulgeoleku teadlaste raportis. Teadlased suutsid tuvastada kolm mobiiliohtu, mida jälgiti kui FastFire, FastViewer ja FastSpy.

FastVieweri tehnilised üksikasjad

FastVieweri oht levib muudetud Hancom Office Vieweri rakenduse kaudu. Õiguspärane tarkvaratööriist on mobiilne dokumendivaatur, mis võimaldab kasutajatel avada Wordi, PDF-i, .hwp (Hangul) ja muid dokumente. Pärisrakendust on Google Play poes alla laaditud üle 10 miljoni. Kimsuki häkkerid on võtnud tavalise Hancom Office Vieweri rakenduse ja pakkinud selle ümber, et nüüd sisaldada suvalist rikutud koodi. Selle tulemusena on relvastatud versioonil paketi nimi, rakenduse nimi ja ikoon, mis on väga sarnased tegeliku rakendusega. FastViewer on varustatud jks Java-põhise sertifikaadivormingu sertifikaadiga.

Installimise ajal kasutab oht Androidi juurdepääsetavuse õigusi, kuna neid on vaja paljude selle ähvardavate toimingute hõlbustamiseks. Kui pahavara taotlused rahuldatakse, saab FastViewer saada oma operaatoritelt käske, luua nakatunud seadmes püsivusmehhanisme ja algatada nuhkimisrutiine.

Pahavara ähvardav käitumine aktiveerub, kui muudetud rakendust kasutatakse spetsiaalselt Kimsuki küberkurjategijate koostatud dokumendi skannimiseks. Fail teisendatakse tavaliseks dokumendiks ja seda näidatakse kasutajale, samas kui kahjustav käitumine toimub seadme taustal. Oht kogub seadmest palju teavet ja eksfiltreerib selle käsu- ja juhtimisserverisse. Lisaks on FastVieweri üks peamisi funktsioone kolmanda tuvastatud Kimsuky ohu – FastSpy – toomine ja juurutamine. Sellel kahjustaval tööriistal on mitmeid omadusi, mis on üsna sarnased avatud lähtekoodiga RAT-i pahavaraga, mida nimetatakse AndroSpyks.