FastSpy

Līdz Mezo. gadam Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools. gadā

Tulkot uz:

Kimsuki APT (Advanced Persistent Threat) grupa turpina paplašināt savu draudošo rīku arsenālu. Jaunākais konstatētais papildinājums ir mobilo draudu trio, kas tiek izmantoti uzbrukuma kampaņās, kuru mērķauditorija ir upuru Android ierīces. Sīkāka informācija par iepriekš nezināmajiem kaitīgajiem draudiem, kas tagad tiek izsekoti kā FastFire , FastViewer un FastSpy, tika publicēti ziņojumā, ko sniedza ļaunprātīgas programmatūras pētnieki no Dienvidkorejas kiberdrošības uzņēmuma.

Tiek uzskatīts, ka Kimsuki hakeru grupu atbalsta Ziemeļkoreja. Tās darbību var izsekot jau 2012. gadā, un tās mērķi konsekventi bijuši Dienvidkorejā, Japānā un ASV. Hakeri lielākoties ir veikuši kiberspiegošanas kampaņas, kuru mērķis ir vākt sensitīvu informāciju no personām vai organizācijām, kas iesaistītas politikā, diplomātijā, plašsaziņas līdzekļu vai pētniecības sektoros.

FastSpy analīze

FastSpy draudus inficētajās ierīcēs izvieto iepriekšējās pakāpes implants FastViewer. FastSpy galvenā funkcija ir nodrošināt uzbrucējiem tālvadības pulti pār upura ierīci. Draudi var iegūt papildu privilēģijas, ļaunprātīgi izmantojot tās pašas Android pieejamības API privilēģijas, kuras mēģina iegūt FastViewer. Tas tiek panākts, parādot uznirstošo logu, kurā tiek pieprasīta nepieciešamā atļauja, un pēc tam tiek simulēts klikšķis uz pogas Piekrītu. Nav nepieciešama lietotāja mijiedarbība. Metodei ir vairākas pazīmes, kas ir līdzīgas iepriekš novērotajām Malibot ļaunprātīgās programmatūras draudiem, lai apietu Google MFA (vairāku faktoru autentifikāciju).

FasSpy uzmācīgās iespējas ietver tālruņa nolaupīšanu, SMS informācijas vākšanu, ierīces atrašanās vietas izsekošanu un kameras, mikrofona, skaļruņa, ģimenes ārstu un citu funkciju uzraudzību reāllaikā. Kimsuki hakeri var arī izmantot draudus, lai piekļūtu failiem ierīcē un izfiltrētu tos uz operācijas komandu un kontroles serveri. Jānorāda, ka S2W pētnieki apstiprināja vairākas līdzības metodes nosaukumā, ziņojuma formātā, kodā, funkcijās utt. starp FastSpy un atvērtā koda RAT (Remote Access Trojan), kas pazīstams ar AndroSpy.