FastSpy

Mezo -ra Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools-ben

Fordítás ide:

A Kimsuki APT (Advanced Persistent Threat) csoport továbbra is bővíti fenyegető eszközök arzenálját. A legújabb azonosított kiegészítés egy három mobil fenyegetés, amelyet az áldozatok Android-eszközeit célzó támadási kampányokban használnak. A korábban ismeretlen káros fenyegetésekről, amelyeket most FastFire , FastViewer és FastSpy néven követnek nyomon, egy dél-koreai kiberbiztonsági cég malware-kutatói közölték a jelentésben.

A Kimsuki hackercsoportot Észak-Korea támogatja. Tevékenysége egészen 2012-ig nyomon követhető, célpontjai pedig következetesen Dél-Koreában, Japánban és az Egyesült Államokban voltak. A hackerek többnyire kiberkémkedési kampányokat folytattak, amelyek célja érzékeny információk gyűjtése a politikában, diplomáciában, a média vagy a kutatási szektorban.

FastSpy elemzés

A FastSpy fenyegetést az előző fázisú FastViewer implantátum telepíti a fertőzött eszközökre. A FastSpy elsődleges feladata, hogy a támadók számára távirányítót biztosítson az áldozat eszköze felett. A fenyegetés további jogosultságokat szerezhet azáltal, hogy visszaél ugyanazokkal az Android akadálymentesítési API-jogokkal, amelyeket a FastViewer próbál megszerezni. Ezt úgy éri el, hogy megjelenít egy felugró ablakot, amely kéri a szükséges engedélyt, majd az „Elfogadom” gombra kattintást szimulál. Nincs szükség interakcióra a felhasználó részéről. A módszer számos olyan tulajdonsággal rendelkezik, amelyek hasonlóak a korábban a Malibot kártevő fenyegetettségben megfigyeltekhez, a Google MFA (multi-factor authentication) megkerülésének módjaként.

A FasSpy tolakodó képességei közé tartozik a telefon eltérítése, az SMS-adatok gyűjtése, az eszköz helyének nyomon követése, valamint a kamera, a mikrofon, a hangszóró, a háziorvosok és egyéb funkciók valós időben történő figyelése. A Kimsuki hackerek a fenyegetést arra is felhasználhatják, hogy hozzáférjenek az eszközön lévő fájlokhoz, és kiszűrjék azokat a művelet Command-and-Control szerverére. Ki kell emelni, hogy az S2W kutatói többszörös hasonlóságot igazoltak a FastSpy és egy nyílt forráskódú RAT (Remote Access Trojan) ismert AndroSpy metódusnévben, üzenetformátumban, kódban, függvényekben stb.