FastSpy

עד Mezo ב-Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

לתרגם ל:

קבוצת Kimsuki APT (Advanced Persistent Threat) ממשיכה להרחיב את ארסנל הכלים המאיימים שלה. התוספת האחרונה שזוהתה היא שלישיית איומים ניידים המשמשים בקמפיינים תקיפים המכוונים למכשירי האנדרואיד של הקורבנות. פרטים על האיומים המזיקים שלא היו ידועים עד כה, שאחריהם כעת מעקבים כ- FastFire , FastViewer ו-FastSpy, פורסמו בדו"ח של חוקרי תוכנות זדוניות מחברת אבטחת סייבר דרום קוריאנית.

על פי ההערכות, קבוצת ההאקרים Kimsuki נתמכת על ידי צפון קוריאה. ניתן לאתר את פעילותה כבר בשנת 2012 והמטרות שלה אותרו באופן עקבי בדרום קוריאה, יפן וארה"ב. ההאקרים ביצעו בעיקר קמפיינים של ריגול סייבר שמטרתם לאסוף מידע רגיש מאנשים או ארגונים המעורבים בפוליטיקה, בדיפלומטיה, מגזרי תקשורת או מחקר.

FastSpy Analysis

איום FastSpy נפרס על המכשירים הנגועים על ידי השתל של השלב הקודם FastViewer. התפקיד העיקרי של FastSpy הוא לספק לתוקפים שליטה מרחוק על המכשיר של הקורבן. האיום מסוגל לרכוש הרשאות נוספות על ידי שימוש לרעה באותן הרשאות API של נגישות אנדרואיד ש-FastViewer מנסה להשיג. זה משיג זאת על ידי הצגת חלון קופץ המבקש את ההרשאה הדרושה ולאחר מכן נדמה לחיצה על כפתור 'הסכים'. אין צורך באינטראקציה מהמשתמש. השיטה מציגה מספר מאפיינים הדומים למה שנצפה בעבר באיום התוכנה הזדונית של Malibot , כדרך לעקוף את ה-MFA (אימות מרובה גורמים) של גוגל.

היכולות החודרניות של FasSpy כוללות חטיפת הטלפון, איסוף מידע SMS, מעקב אחר מיקום המכשיר וניטור המצלמה, המיקרופון, הרמקול, רופאי המשפחה ושאר פונקציות בזמן אמת. ההאקרים של Kimsuki יכולים גם לנצל את האיום כדי לגשת לקבצים במכשיר ולהוציא אותם לשרת הפקודה והבקרה של הפעולה. יש לציין כי החוקרים של S2W אישרו דמיון רב בשם השיטה, פורמט ההודעה, הקוד, הפונקציות וכו', בין FastSpy ל-RAT בקוד פתוח (Remote Access Trojan) הידוע AndroSpy.