FastSpy

تا Mezo در Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

ترجمه به:

گروه Kimsuki APT (تهدید پایدار پیشرفته) به گسترش زرادخانه ابزارهای تهدیدکننده خود ادامه می دهد. آخرین مورد شناسایی‌شده، سه تهدید موبایلی است که در کمپین‌های حمله‌ای که دستگاه‌های اندرویدی قربانیان را هدف قرار می‌دهند، استفاده می‌شود. جزئیات مربوط به تهدیدات مضر ناشناخته قبلی که اکنون با نام های FastFire ، FastViewer و FastSpy ردیابی می شوند در گزارشی توسط محققان بدافزار یک شرکت امنیت سایبری کره جنوبی منتشر شد.

گفته می شود گروه هکر کیمسوکی توسط کره شمالی حمایت می شود. فعالیت های آن را می توان تا سال 2012 ردیابی کرد و اهداف آن به طور مداوم در کره جنوبی، ژاپن و ایالات متحده یافت شده است. هکرها عمدتاً کمپین های جاسوسی سایبری را انجام داده اند که هدف آنها جمع آوری اطلاعات حساس از افراد یا سازمان های درگیر در سیاست، دیپلماسی است. بخش های رسانه ای یا تحقیقاتی

تجزیه و تحلیل FastSpy

تهدید FastSpy توسط ایمپلنت مرحله قبلی FastViewer بر روی دستگاه های آلوده مستقر شده است. وظیفه اصلی FastSpy ارائه کنترل از راه دور بر روی دستگاه قربانی برای مهاجمان است. این تهدید می‌تواند با سوء استفاده از همان امتیازات API دسترسی Android که FastViewer تلاش می‌کند، امتیازات بیشتری به دست آورد. با نمایش یک پاپ آپ درخواست مجوز مورد نیاز و سپس کلیک بر روی دکمه "موافق" شبیه سازی می شود. هیچ تعاملی از جانب کاربر مورد نیاز نیست. این روش چندین ویژگی را نشان می دهد که شبیه به آنچه قبلاً در تهدید بدافزار Malibot مشاهده شده است، به عنوان راهی برای دور زدن MFA (تأیید هویت چند عاملی) Google است.

قابلیت‌های نفوذی FasSpy شامل ربودن تلفن، جمع‌آوری اطلاعات SMS، ردیابی موقعیت مکانی دستگاه و نظارت بر دوربین، میکروفون، بلندگو، پزشکان عمومی و سایر عملکردها در زمان واقعی است. هکرهای کیمسوکی همچنین می‌توانند از تهدید برای دسترسی به فایل‌های موجود در دستگاه و استخراج آنها به سرور فرماندهی و کنترل عملیات استفاده کنند. لازم به ذکر است که محققان S2W شباهت های متعددی را در نام روش، قالب پیام، کد، توابع و غیره بین FastSpy و یک RAT منبع باز (تروجان دسترسی از راه دور) شناخته شده AndroSpy تایید کردند.