FastViewer

Mobile Malware, Remote Administration Tools년에 Mezo 년까지

번역 :

Kimsuki APT(Advanced Persistent Threat)는 위협 도구의 무기고를 계속 확장하고 있습니다. 이 그룹은 북한과 관련이 있는 것으로 추정되며 최소 2012년부터 한국, 일본 및 미국의 개인 및 조직을 표적으로 삼고 있습니다. 해커는 사이버 스파이 공격 캠페인을 전문으로 하며 미디어, 연구, 외교 및 정치 부문.

Kimsuki 그룹(Thallium, Black Banshee, Velvet Chollima)의 새로운 악성코드 위협에 대한 세부 정보가 한국 사이버 보안 회사의 사이버 보안 연구원의 보고서에서 일반에 공개되었습니다. 연구원들은 FastFire, FastViewer 및 FastSpy로 추적되는 세 가지 모바일 위협을 식별할 수 있었습니다.

FastViewer 기술 세부 정보

FastViewer 위협은 변형된 '한컴오피스 뷰어' 애플리케이션을 통해 유포된다. 합법적인 소프트웨어 도구는 사용자가 Word, PDF, .hwp(한글) 및 기타 문서를 열 수 있는 모바일 문서 뷰어입니다. 실제 응용 프로그램은 Google Play 스토어에서 천만 회 이상 다운로드되었습니다. Kimsuki 해커는 일반적인 Hancom Office Viewer 응용 프로그램을 가져와 임의의 손상된 코드를 포함하도록 다시 패키지했습니다. 그 결과 무기화된 버전은 실제 애플리케이션과 매우 유사한 패키지 이름, 애플리케이션 이름 및 아이콘을 갖게 됩니다. FastViewer에는 jks Java 기반 인증서 형식의 인증서가 장착되어 있습니다.

설치하는 동안 위협 요소는 Android의 접근성 권한을 악용합니다. 이러한 권한은 위협적인 작업을 촉진하는 데 필요하기 때문입니다. 맬웨어의 요청이 승인되면 FastViewer는 운영자로부터 명령을 수신하고 감염된 장치에 지속성 메커니즘을 설정하고 스파이 루틴을 시작할 수 있습니다.

악성코드의 위협적 행위는 Kimsuki 사이버범죄자들이 특수 제작한 문서를 수정된 애플리케이션을 사용하여 스캔할 때 활성화됩니다. 파일은 일반 문서로 변환되어 사용자에게 표시되며, 기기의 백그라운드에서 해로운 행동이 발생합니다. 위협 요소는 장치에서 수많은 정보를 수집하여 명령 및 제어 서버로 유출합니다. 또한 FastViewer의 주요 기능 중 하나는 세 번째로 식별된 Kimsuky 위협인 FastSpy를 가져와 배포하는 것입니다. 이 손상 도구는 AndroSpy로 알려진 오픈 소스 RAT 멀웨어와 다소 유사한 여러 특성을 나타냅니다.