FastFire
Az APT (Advanced Persistent Threat) csoport, a Kimsuki három új kártevő fenyegetéssel bővítette rosszindulatú arzenálját a kiberbiztonsági szakértők megállapításai szerint. A támadási eszközöket egy dél-koreai kiberbiztonsági cég kutatói elemezték, és a FastFire , FastViewer és FastSpy nevet kapták.
A Kimsuki hackercsoport (Thallium, Black Banshee, Velvet Chollima) vélhetően legalább 2012 óta aktív, és úgy tűnik, az észak-koreai kormány támogatja. Támadási műveletei többnyire Dél-Koreában, Japánban és az Egyesült Államokban található egyéni célpontokra vagy szervezetekre összpontosultak. A fenyegető kampányok látszólagos célja érzékeny információk gyűjtése a média, a politika, a kutatás és a diplomácia területén dolgozó áldozatoktól.
FastFire részletek
A FastFire fenyegetés egy mobil fenyegetés, amely még mindig aktív fejlesztés alatt áll. A fenyegető APK a Google biztonsági beépülő moduljának álcázza magát. Miután telepítette az Android-eszközre, a FastFire elrejti az indítóikonját, hogy elkerülje az áldozat figyelmét. A rosszindulatú program ezután továbbít egy eszköz tokent a művelet Command-and-Control (C&C, C2) kiszolgálóinak, és megvárja a parancs visszaküldését. A fertőzött eszköz és a C&C szerverek közötti kommunikáció Firebase Base Messaging (FCM) segítségével történik. A Firebase egy mobil fejlesztői platform, amely számos alapvető funkciót kínál, beleértve a tartalom valós idejű tárolását, adatbázisokat, értesítéseket, közösségi hitelesítést és sok más funkciót.
Úgy tűnik, hogy a FastFire elsődleges feladata egy mélyhivatkozás-hívási funkció végrehajtása. A kutatás pillanatában azonban ez a funkció még nem volt teljesen megvalósítva. A kutatók számos olyan osztály jelenlétét is megjegyzik, amelyeket egyáltalán nem hajtanak végre.
FastFire videó
Tipp: Kapcsolja BE a hangot, és nézze meg a videót teljes képernyős módban .
