FastViewer

עד Mezo ב-Mobile Malware, Remote Administration Tools

לתרגם ל:

ה-Kimsuki APT (Advanced Persistent Threat) ממשיך להרחיב את ארסנל הכלים המאיימים שלו. על פי ההערכות, לקבוצה יש קשרים עם צפון קוריאה, ומאז לפחות 2012 היא מכוונת ליחידים וארגונים מדרום קוריאה, יפן וארה"ב. ההאקרים מתמחים בקמפיינים להתקפות ריגול סייבר, מנסים לחדור לגורמים הפועלים בתקשורת, במחקר, דיפלומטיה ומגזרים פוליטיים.

פרטים על איומי הזדוניות החדשים של קבוצת Kimsuki (Thallium, Black Banshee, Velvet Chollima) פורסמו לציבור בדו"ח של חוקרי אבטחת סייבר בחברת אבטחת סייבר דרום קוריאנית. החוקרים הצליחו לזהות שלושה איומים ניידים במעקב כמו FastFire, FastViewer ו-FastSpy.

פרטים טכניים של FastViewer

האיום של FastViewer מופץ באמצעות יישום 'Hancom Office Viewer' שונה. כלי התוכנה הלגיטימי הוא מציג מסמכים נייד המאפשר למשתמשים לפתוח וורד, PDF, .hwp (Hangul) ומסמכים אחרים. לאפליקציה האמיתית יש יותר מ-10 מיליון הורדות בחנות Google Play. ההאקרים של Kimsuki לקחו את אפליקציית Hancom Office Viewer הרגילה וארזו אותו מחדש כך שיכלול כעת קוד פגום שרירותי. כתוצאה מכך, לגרסת הנשק יש שם חבילה, שם אפליקציה וסמל הדומים מאוד לאפליקציה האמיתית. FastViewer מצויד בתעודה בפורמט אישור מבוסס jks Java.

במהלך ההתקנה, האיום ינצל את הרשאות הנגישות של אנדרואיד, מכיוון שהן נחוצות כדי להקל על רבות מהפעולות המאיימות שלו. אם הבקשות של התוכנה הזדונית יתקבלו, FastViewer יוכל לקבל פקודות מהמפעילים שלה, להקים מנגנוני התמדה במכשיר הנגוע וליזום שגרות ריגול.

ההתנהגות המאיימת של התוכנה הזדונית מופעלת כאשר האפליקציה ששונתה משמשת לסריקת מסמך שנוצר במיוחד על ידי פושעי סייבר של Kimsuki. הקובץ יומר למסמך רגיל ויוצג למשתמש, בעוד ההתנהגות הפוגעת מתרחשת ברקע המכשיר. האיום יאסוף מידע רב מהמכשיר ויעביר אותו לשרת הפקודה והבקרה שלו. בנוסף, אחת הפונקציות העיקריות של FastViewer היא להביא ולפרוס את האיום השלישי המזוהה של Kimsuky - FastSpy. כלי מזיק זה מציג מספר מאפיינים הדומים למדי לתוכנה זדונית RAT בקוד פתוח, המכונה AndroSpy.