FastViewer

Vuonna Mezo vuonna Mobile Malware, Remote Administration Tools

Käännä:

Kimsuki APT (Advanced Persistent Threat) laajentaa edelleen uhkaavien työkalujensa arsenaalia. Ryhmällä uskotaan olevan siteitä Pohjois-Koreaan ja ainakin vuodesta 2012 lähtien se on ollut kohteena Etelä-Koreasta, Japanista ja Yhdysvalloista tuleviin henkilöihin ja organisaatioihin. Hakkerit ovat erikoistuneet kybervakoilukampanjoihin, yrittäen soluttautua median, tutkimuksen, diplomatia ja poliittinen sektori.

Yksityiskohdat Kimsuki-ryhmän uusista haittaohjelmauhkista (Thallium, Black Banshee, Velvet Chollima) julkistettiin eteläkorealaisen kyberturvallisuusyrityksen kyberturvallisuustutkijoiden raportissa. Tutkijat pystyivät tunnistamaan kolme mobiiliuhkaa, joita seurattiin nimellä FastFire, FastViewer ja FastSpy.

FastViewerin tekniset tiedot

FastViewer-uhka leviää muunnetun Hancom Office Viewer -sovelluksen kautta. Laillinen ohjelmistotyökalu on mobiilidokumenttien katseluohjelma, jonka avulla käyttäjät voivat avata Word-, PDF-, .hwp- (Hangul)- ja muita asiakirjoja. Oikealla sovelluksella on yli 10 miljoonaa latausta Google Play Kaupassa. Kimsuki-hakkerit ovat ottaneet tavallisen Hancom Office Viewer -sovelluksen ja pakaneet sen uudelleen sisältämään mielivaltaisen vioittun koodin. Tämän seurauksena aseellisella versiolla on paketin nimi, sovelluksen nimi ja kuvake, jotka ovat erittäin samankaltaisia kuin todellisen sovelluksen. FastViewer on varustettu jks Java-pohjaisessa sertifikaattimuodossa.

Asennuksen aikana uhka käyttää hyväkseen Androidin esteettömyysoikeuksia, koska niitä tarvitaan monien sen uhkaavien toimien helpottamiseksi. Jos haittaohjelman pyynnöt hyväksytään, FastViewer voi vastaanottaa komentoja operaattoreiltaan, luoda pysyvyysmekanismeja tartunnan saaneelle laitteelle ja aloittaa vakoilurutiineja.

Haittaohjelman uhkaava käyttäytyminen aktivoituu, kun muokattua sovellusta käytetään Kimsuki-verkkorikollisten erityisesti laatiman asiakirjan skannaamiseen. Tiedosto muunnetaan tavalliseksi asiakirjaksi ja näytetään käyttäjälle, kun taas loukkaava toiminta tapahtuu laitteen taustalla. Uhka kerää lukuisia tietoja laitteesta ja suodattaa sen komento- ja ohjauspalvelimelleen. Lisäksi yksi FastViewerin päätoiminnoista on kolmannen tunnistetun Kimsuky-uhan - FastSpy - hakeminen ja käyttöönotto. Tällä vahingollisella työkalulla on useita ominaisuuksia, jotka ovat melko samanlaisia kuin avoimen lähdekoodin RAT-haittaohjelma, joka tunnetaan nimellä AndroSpy.