Spia veloce

Entro Mezo nel Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Traduci in:

Il gruppo Kimsuki APT (Advanced Persistent Threat) continua ad espandere il suo arsenale di strumenti minacciosi. L'ultima aggiunta identificata è un trio di minacce mobili utilizzate nelle campagne di attacco contro i dispositivi Android delle vittime. I dettagli sulle minacce dannose precedentemente sconosciute ora tracciate come FastFire , FastViewer e FastSpy sono stati rilasciati in un rapporto dai ricercatori di malware di una società di sicurezza informatica sudcoreana.

Si ritiene che il gruppo di hacker Kimsuki sia sostenuto dalla Corea del Nord. Le sue attività possono essere fatte risalire al 2012 e i suoi obiettivi sono stati costantemente localizzati in Corea del Sud, Giappone e Stati Uniti. Gli hacker hanno condotto principalmente campagne di spionaggio informatico che mirano a raccogliere informazioni sensibili da individui o organizzazioni coinvolte nella politica, nella diplomazia, media o settori della ricerca.

Analisi FastSpy

La minaccia FastSpy viene implementata sui dispositivi infetti dall'impianto FastViewer della fase precedente. La funzione principale di FastSpy è fornire agli aggressori il controllo remoto del dispositivo della vittima. La minaccia è in grado di acquisire privilegi aggiuntivi abusando degli stessi privilegi dell'API di accessibilità Android che FastViewer tenta di ottenere. Raggiunge questo visualizzando un pop-up che richiede l'autorizzazione necessaria e quindi viene simulato un clic sul pulsante "Accetto". Non è richiesta alcuna interazione da parte dell'utente. Il metodo presenta diverse caratteristiche simili a quanto osservato in precedenza nella minaccia malware Malibot , come un modo per aggirare l'autenticazione a più fattori di Google (autenticazione a più fattori).

Le capacità intrusive di FasSpy includono il dirottamento del telefono, la raccolta di informazioni SMS, il monitoraggio della posizione del dispositivo e il monitoraggio della fotocamera, del microfono, dell'altoparlante, dei medici di famiglia e di altre funzioni in tempo reale. Gli hacker Kimsuki possono anche utilizzare la minaccia per accedere ai file sul dispositivo ed esfiltrarli al server Command-and-Control dell'operazione. Va sottolineato che i ricercatori di S2W hanno confermato molteplici somiglianze nel nome del metodo, nel formato del messaggio, nel codice, nelle funzioni, ecc., tra FastSpy e un RAT (Remote Access Trojan) open source noto AndroSpy.