FastSpy

Vuonna Mezo vuonna Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Käännä:

Kimsuki APT (Advanced Persistent Threat) -ryhmä laajentaa edelleen uhkaavien työkalujensa arsenaalia. Viimeisin tunnistettu lisäys on mobiiliuhkien kolmikko, jota hyödynnetään uhrien Android-laitteisiin kohdistetuissa hyökkäyskampanjoissa. Yksityiskohdat aiemmin tuntemattomista haitallisista uhista, joita nyt seurataan nimellä FastFire , FastViewer ja FastSpy, julkaistiin eteläkorealaisen kyberturvallisuusyrityksen haittaohjelmatutkijoiden raportissa.

Pohjois-Korean uskotaan tukevan Kimsuki-hakkeriryhmää. Sen toiminta on jäljitettävissä aina vuoteen 2012 asti ja sen kohteet ovat jatkuvasti sijoittuneet Etelä-Koreaan, Japaniin ja Yhdysvaltoihin. Hakkerit ovat enimmäkseen toteuttaneet kybervakoilukampanjoita, joiden tarkoituksena on kerätä arkaluonteisia tietoja henkilöiltä tai organisaatioilta, jotka ovat mukana politiikassa, diplomatiassa, median tai tutkimuksen aloilla.

FastSpy-analyysi

FastSpy-uhan on otettu käyttöön tartunnan saaneissa laitteissa edellisen vaiheen FastViewer-implanttien avulla. FastSpyn ensisijainen tehtävä on tarjota hyökkääjille uhrin laitteen etähallinta. Uhka voi hankkia lisäoikeuksia käyttämällä väärin samoja Androidin esteettömyyssovellusliittymän oikeuksia, joita FastViewer yrittää hankkia. Se saavuttaa tämän näyttämällä ponnahdusikkunan, jossa pyydetään tarvittavaa lupaa, ja sitten simuloidaan "Agree"-painikkeen napsautusta. Käyttäjältä ei vaadita vuorovaikutusta. Menetelmässä on useita ominaisuuksia, jotka ovat samankaltaisia kuin mitä on aiemmin havaittu Malibot- haittaohjelmauhan yhteydessä, keinona kiertää Googlen MFA (multi-factor authentication).

FasSpyn tunkeilevia ominaisuuksia ovat puhelimen kaappaus, tekstiviestitietojen kerääminen, laitteen sijainnin seuranta sekä kameran, mikrofonin, kaiuttimen, yleislääkärien ja muiden toimintojen valvonta reaaliajassa. Kimsuki-hakkerit voivat myös hyödyntää uhkia päästäkseen käsiksi laitteessa oleviin tiedostoihin ja suodata ne operaation Command-and-Control-palvelimelle. On syytä huomauttaa, että S2W:n tutkijat vahvistivat useita samankaltaisuuksia menetelmän nimessä, viestimuodossa, koodissa, funktioissa jne. FastSpyn ja avoimen lähdekoodin RAT (Remote Access Trojan) tunnetun AndroSpyn välillä.