FastViewer

Entro Mezo nel Mobile Malware, Remote Administration Tools

Traduci in:

Il Kimsuki APT (Advanced Persistent Threat) continua ad espandere il suo arsenale di strumenti minacciosi. Si ritiene che il gruppo abbia legami con la Corea del Nord e, almeno dal 2012, abbia preso di mira individui e organizzazioni dalla Corea del Sud, dal Giappone e dagli Stati Uniti. Gli hacker sono specializzati in campagne di attacco di spionaggio informatico, cercando di infiltrarsi in entità che lavorano nei media, nella ricerca, diplomazia e settori politici.

I dettagli sulle nuove minacce malware del gruppo Kimsuki (Thallium, Black Banshee, Velvet Chollima) sono stati resi pubblici in un rapporto dai ricercatori di cybersecurity di una società di cybersecurity sudcoreana. I ricercatori sono stati in grado di identificare tre minacce mobili tracciate come FastFire, FastViewer e FastSpy.

Dettagli tecnici di FastViewer

La minaccia FastViewer viene diffusa tramite un'applicazione modificata "Hancom Office Viewer". Lo strumento software legittimo è un visualizzatore di documenti mobile che consente agli utenti di aprire documenti Word, PDF, .hwp (Hangul) e altri. L'applicazione reale ha oltre 10 milioni di download sul Google Play Store. Gli hacker di Kimsuki hanno preso la normale applicazione Hancom Office Viewer e l'hanno riconfezionata per includere ora codice corrotto arbitrario. Di conseguenza, la versione armata ha un nome del pacchetto, un nome dell'applicazione e un'icona estremamente simili all'applicazione reale. FastViewer è dotato di un certificato nel formato di certificato basato su Java jks .

Durante l'installazione, la minaccia sfrutterà le autorizzazioni di accessibilità di Android, poiché sono necessarie per facilitare molte delle sue azioni minacciose. Se le richieste del malware vengono accolte, FastViewer sarà in grado di ricevere comandi dai suoi operatori, stabilire meccanismi di persistenza sul dispositivo infetto e avviare routine di spionaggio.

Il comportamento minaccioso del malware si attiva quando l'applicazione modificata viene utilizzata per scansionare un documento creato appositamente dai criminali informatici Kimsuki. Il file verrebbe convertito in un normale documento e mostrato all'utente, mentre il comportamento dannoso si svolge sullo sfondo del dispositivo. La minaccia raccoglierà numerose informazioni dal dispositivo e le esfiltrerà al suo server Command-and-Control. Inoltre, una delle principali funzionalità di FastViewer è recuperare e distribuire la terza minaccia Kimsuky identificata: FastSpy. Questo strumento dannoso mostra molteplici caratteristiche che sono piuttosto simili a un malware RAT open source, noto come AndroSpy.