FastSpy

Autorius Mezo, Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Versti į:

Kimsuki APT (Advanced Persistent Threat) grupė ir toliau plečia savo grėsmingų įrankių arsenalą. Paskutinis nustatytas papildymas yra mobiliųjų grėsmių trejetas, naudojamas atakų kampanijose, nukreiptose į aukų „Android“ įrenginius. Išsamią informaciją apie anksčiau nežinomas kenksmingas grėsmes, dabar stebimas kaip FastFire , FastViewer ir FastSpy, paskelbė kenkėjiškų programų tyrinėtojai iš Pietų Korėjos kibernetinio saugumo įmonės.

Manoma, kad Kimsuki įsilaužėlių grupę remia Šiaurės Korėja. Jos veiklą galima atsekti dar 2012 m., o jos taikiniai nuolat buvo Pietų Korėjoje, Japonijoje ir JAV. Programišiai dažniausiai vykdė kibernetinio šnipinėjimo kampanijas, kurių tikslas – rinkti neskelbtiną informaciją iš asmenų ar organizacijų, susijusių su politika, diplomatija, žiniasklaidos ar mokslinių tyrimų sektoriuose.

„FastSpy“ analizė

„FastSpy“ grėsmę užkrėstuose įrenginiuose įdiegia ankstesnio etapo implantas „FastViewer“. Pagrindinė FastSpy funkcija yra suteikti užpuolikams nuotolinį aukos įrenginio valdymą. Grėsmė gali įgyti papildomų privilegijų piktnaudžiaudama tomis pačiomis „Android“ pritaikymo neįgaliesiems API privilegijomis, kurias bando gauti „FastViewer“. Tai pasiekiama rodant iššokantįjį langą, kuriame prašoma reikiamo leidimo, o tada imituojamas mygtuko „Sutinku“ paspaudimas. Jokios vartotojo sąveikos nereikia. Metodas pasižymi keliomis savybėmis, kurios yra panašios į anksčiau pastebėtas Malibot kenkėjiškų programų grėsmei, kaip būdas apeiti Google MFA (daugiafaktorinį autentifikavimą).

Įkyrios „FasSpy“ galimybės apima telefono užgrobimą, SMS informacijos rinkimą, įrenginio buvimo vietos stebėjimą ir kameros, mikrofono, garsiakalbio, GP ir kitų funkcijų stebėjimą realiuoju laiku. „Kimsuki“ įsilaužėliai taip pat gali pasinaudoti grėsme, kad pasiektų įrenginyje esančius failus ir išfiltruotų juos į operacijos „Command-and-Control“ serverį. Reikėtų pažymėti, kad S2W tyrėjai patvirtino daugybę metodo pavadinimo, pranešimo formato, kodo, funkcijų ir kt. panašumų tarp FastSpy ir atvirojo kodo RAT (Remote Access Trojan), žinomo AndroSpy.