FastSpy
گروه Kimsuki APT (تهدید پایدار پیشرفته) به گسترش زرادخانه ابزارهای تهدیدکننده خود ادامه می دهد. آخرین مورد شناساییشده، سه تهدید موبایلی است که در کمپینهای حملهای که دستگاههای اندرویدی قربانیان را هدف قرار میدهند، استفاده میشود. جزئیات مربوط به تهدیدات مضر ناشناخته قبلی که اکنون با نام های FastFire ، FastViewer و FastSpy ردیابی می شوند در گزارشی توسط محققان بدافزار یک شرکت امنیت سایبری کره جنوبی منتشر شد.
گفته می شود گروه هکر کیمسوکی توسط کره شمالی حمایت می شود. فعالیت های آن را می توان تا سال 2012 ردیابی کرد و اهداف آن به طور مداوم در کره جنوبی، ژاپن و ایالات متحده یافت شده است. هکرها عمدتاً کمپین های جاسوسی سایبری را انجام داده اند که هدف آنها جمع آوری اطلاعات حساس از افراد یا سازمان های درگیر در سیاست، دیپلماسی است. بخش های رسانه ای یا تحقیقاتی
تجزیه و تحلیل FastSpy
تهدید FastSpy توسط ایمپلنت مرحله قبلی FastViewer بر روی دستگاه های آلوده مستقر شده است. وظیفه اصلی FastSpy ارائه کنترل از راه دور بر روی دستگاه قربانی برای مهاجمان است. این تهدید میتواند با سوء استفاده از همان امتیازات API دسترسی Android که FastViewer تلاش میکند، امتیازات بیشتری به دست آورد. با نمایش یک پاپ آپ درخواست مجوز مورد نیاز و سپس کلیک بر روی دکمه "موافق" شبیه سازی می شود. هیچ تعاملی از جانب کاربر مورد نیاز نیست. این روش چندین ویژگی را نشان می دهد که شبیه به آنچه قبلاً در تهدید بدافزار Malibot مشاهده شده است، به عنوان راهی برای دور زدن MFA (تأیید هویت چند عاملی) Google است.
قابلیتهای نفوذی FasSpy شامل ربودن تلفن، جمعآوری اطلاعات SMS، ردیابی موقعیت مکانی دستگاه و نظارت بر دوربین، میکروفون، بلندگو، پزشکان عمومی و سایر عملکردها در زمان واقعی است. هکرهای کیمسوکی همچنین میتوانند از تهدید برای دسترسی به فایلهای موجود در دستگاه و استخراج آنها به سرور فرماندهی و کنترل عملیات استفاده کنند. لازم به ذکر است که محققان S2W شباهت های متعددی را در نام روش، قالب پیام، کد، توابع و غیره بین FastSpy و یک RAT منبع باز (تروجان دسترسی از راه دور) شناخته شده AndroSpy تایید کردند.
FastSpy ویدیو
نکته: صدای خود را روشن کنید و ویدیو را در حالت تمام صفحه تماشا کنید .