FastFire

تا Mezo در Mobile Malware, Advanced Persistent Threat (APT)

ترجمه به:

بر اساس یافته های کارشناسان امنیت سایبری، گروه APT (تهدید مداوم پیشرفته) Kimsuki با افزودن سه تهدید بدافزار جدید، زرادخانه مخرب خود را بیشتر گسترش داده است. ابزارهای حمله توسط محققان یک شرکت امنیت سایبری کره جنوبی مورد تجزیه و تحلیل قرار گرفتند و نام‌های FastFire ، FastViewer و FastSpy به آنها داده شد.

گروه هکر کیمسوکی (Thallium، Black Banshee، Velvet Chollima) حداقل از سال 2012 فعال بوده و به نظر می رسد که توسط دولت کره شمالی حمایت می شود. عملیات حمله آن بیشتر بر اهداف یا سازمان‌های مستقر در کره جنوبی، ژاپن و ایالات متحده متمرکز بوده است. هدف آشکار کمپین‌های تهدیدآمیز جمع‌آوری اطلاعات حساس از قربانیانی است که در زمینه‌های رسانه‌ای، سیاسی، تحقیقاتی و دیپلماسی کار می‌کنند.

جزئیات FastFire

تهدید FastFire یک تهدید تلفن همراه است که نشانه هایی از اینکه هنوز در حال توسعه فعال است را نشان می دهد. APK تهدید کننده به عنوان یک افزونه امنیتی Google ظاهر می شود. پس از نصب بر روی دستگاه اندرویدی، FastFire برای جلوگیری از جلب توجه قربانی، نماد راه‌انداز خود را مخفی می‌کند. سپس بدافزار یک رمز دستگاه را به سرورهای Command-and-Control (C&C, C2) عملیات ارسال می‌کند و منتظر می‌ماند تا یک فرمان بازگردانده شود. ارتباط بین دستگاه آلوده و سرورهای C&C از طریق Firebase Base Messaging (FCM) انجام می شود. Firebase یک پلت فرم توسعه تلفن همراه است که عملکردهای ضروری متعددی از جمله میزبانی بلادرنگ محتوا، پایگاه داده، اعلان ها، احراز هویت اجتماعی و همچنین بسیاری از عملکردهای دیگر را ارائه می دهد.

به نظر می رسد وظیفه اصلی FastFire اجرای یک تابع فراخوانی پیوند عمیق است. با این حال، در لحظه تحقیق، این قابلیت به طور کامل اجرا نشد. محققان همچنین به وجود چندین کلاس اشاره می کنند که اصلاً اجرا نمی شوند.