FastViewer

Do Mezo. Mobile Malware, Remote Administration Tools. godine

Prevedi na:

Kimsuki APT (Advanced Persistent Threat) nastavlja širiti svoj arsenal prijetećih alata. Vjeruje se da je skupina povezana sa Sjevernom Korejom i, najmanje od 2012., ciljala je pojedince i organizacije iz Južne Koreje, Japana i SAD-a. Hakeri su specijalizirani za kampanje kibernetičke špijunaže, pokušavajući se infiltrirati u subjekte koji rade u medijima, istraživanju, diplomacije i političkih sektora.

Pojedinosti o novim malware prijetnjama grupe Kimsuki (Thallium, Black Banshee, Velvet Chollima) objavljene su u javnosti u izvješću istraživača kibernetičke sigurnosti u jednoj južnokorejskoj tvrtki za kibernetičku sigurnost. Istraživači su uspjeli identificirati tri mobilne prijetnje praćene kao FastFire, FastViewer i FastSpy.

Tehnički detalji FastViewera

FastViewer prijetnja se širi preko modificirane aplikacije 'Hancom Office Viewer'. Legitimni softverski alat je mobilni preglednik dokumenata koji korisnicima omogućuje otvaranje Worda, PDF-a, .hwp (Hangul) i drugih dokumenata. Prava aplikacija ima preko 10 milijuna preuzimanja na Google Play Storeu. Hakeri Kimsuki preuzeli su normalnu aplikaciju Hancom Office Viewer i prepakirali je tako da sada uključuje proizvoljni oštećeni kod. Kao rezultat toga, inačica s oružjem ima naziv paketa, naziv aplikacije i ikonu koji su vrlo slični pravoj aplikaciji. FastViewer je opremljen certifikatom u jks formatu certifikata temeljenom na Javi.

Tijekom instalacije prijetnja će iskoristiti Androidove dozvole pristupačnosti jer su one potrebne za olakšavanje mnogih prijetećih radnji. Ako se zahtjevi zlonamjernog softvera udovolje, FastViewer će moći primati naredbe od svojih operatera, uspostaviti mehanizme postojanosti na zaraženom uređaju i pokrenuti rutine špijuniranja.

Prijeteće ponašanje zlonamjernog softvera aktivira se kada se modificirana aplikacija koristi za skeniranje dokumenta koji su posebno izradili kibernetički kriminalci Kimsuki. Datoteka bi se pretvorila u normalan dokument i prikazala korisniku, dok bi se štetno ponašanje odvijalo u pozadini uređaja. Prijetnja će prikupiti brojne podatke s uređaja i prenijeti ih na svoj Command-and-Control poslužitelj. Osim toga, jedna od glavnih funkcija FastViewera je dohvaćanje i implementacija treće identificirane Kimsuky prijetnje - FastSpy. Ovaj štetni alat pokazuje više karakteristika koje su prilično slične RAT zlonamjernom softveru otvorenog koda, poznatom kao AndroSpy.