FastViewer
A Kimsuki APT (Advanced Persistent Threat) tovább bővíti fenyegető eszközök arzenálját. A csoport vélhetően kapcsolatban áll Észak-Koreával, és legalább 2012 óta dél-koreai, japán és amerikai egyéneket és szervezeteket céloz meg. A hackerek kiberkémtámadási kampányokra specializálódtak, és megpróbálnak beszivárogni a médiában, kutatásban, diplomácia és politikai szektorok.
A Kimsuki csoport új rosszindulatú fenyegetéseiről (Thallium, Black Banshee, Velvet Chollima) egy dél-koreai kiberbiztonsági cég kiberbiztonsági kutatóinak jelentésében hozták nyilvánosságra a részleteket. A kutatók három mobil fenyegetést tudtak azonosítani, amelyek FastFire, FastViewer és FastSpy néven követhetők.
FastViewer technikai részletek
A FastViewer fenyegetés egy módosított „Hancom Office Viewer” alkalmazáson keresztül terjed. A legális szoftvereszköz egy mobil dokumentumnézegető, amely lehetővé teszi a felhasználók számára Word, PDF, .hwp (Hangul) és egyéb dokumentumok megnyitását. A valódi alkalmazást több mint 10 millióan töltötték le a Google Play Áruházban. A Kimsuki hackerek átvették a szokásos Hancom Office Viewer alkalmazást, és újracsomagolták, hogy most tetszőleges sérült kódot tartalmazzon. Ennek eredményeként a fegyveres verzió csomagnévvel, alkalmazásnévvel és ikonnal rendelkezik, amelyek rendkívül hasonlítanak a valódi alkalmazáshoz. A FastViewer jks Java-alapú tanúsítványformátumú tanúsítvánnyal van felszerelve.
A telepítés során a fenyegetés kihasználja az Android akadálymentesítési engedélyeit, mivel ezekre szükség van számos fenyegető művelet megkönnyítéséhez. Ha a rosszindulatú program kérései teljesülnek, a FastViewer parancsokat tud fogadni kezelőitől, megmaradási mechanizmusokat hoz létre a fertőzött eszközön, és kémkedési rutinokat kezdeményezhet.
A kártevő fenyegető viselkedése akkor aktiválódik, amikor a módosított alkalmazást egy speciálisan Kimsuki kiberbűnözők által készített dokumentum átvizsgálására használják. A fájlt normál dokumentummá konvertálják, és megjelenítik a felhasználónak, miközben a bántó viselkedés az eszköz hátterében történik. A fenyegetés számos információt gyűjt az eszközről, és átszivárog a Command-and-Control szerverére. Ezenkívül a FastViewer egyik fő funkciója a harmadik azonosított Kimsuky fenyegetés - a FastSpy - lekérése és telepítése. Ez a káros eszköz számos olyan tulajdonsággal rendelkezik, amelyek meglehetősen hasonlítanak az AndroSpy néven ismert nyílt forráskódú RAT malware-hez.
FastViewer videó
Tipp: Kapcsolja BE a hangot, és nézze meg a videót teljes képernyős módban .
