FastViewer

Līdz Mezo. gadam Mobile Malware, Remote Administration Tools. gadā

Tulkot uz:

Kimsuki APT (Advanced Persistent Threat) turpina paplašināt savu draudošo rīku arsenālu. Tiek uzskatīts, ka grupai ir saites ar Ziemeļkoreju, un vismaz kopš 2012. gada tā ir vērsta pret personām un organizācijām no Dienvidkorejas, Japānas un ASV. Hakeri specializējas kiberspiegošanas uzbrukumu kampaņās, mēģinot iefiltrēties struktūrās, kas strādā plašsaziņas līdzekļos, pētniecībā, diplomātijas un politikas sektoros.

Sīkāka informācija par Kimsuki grupas jaunajiem ļaunprogrammatūras draudiem (Thallium, Black Banshee, Velvet Chollima) tika publiskota Dienvidkorejas kiberdrošības uzņēmuma kiberdrošības pētnieku ziņojumā. Pētnieki spēja identificēt trīs mobilos draudus, kas izsekoti kā FastFire, FastViewer un FastSpy.

FastViewer tehniskā informācija

FastViewer draudi tiek izplatīti, izmantojot modificētu lietojumprogrammu "Hancom Office Viewer". Likumīgais programmatūras rīks ir mobilais dokumentu skatītājs, kas lietotājiem ļauj atvērt Word, PDF, .hwp (Hangul) un citus dokumentus. Reālajai lietojumprogrammai ir vairāk nekā 10 miljoni lejupielāžu Google Play veikalā. Kimsuki hakeri ir izmantojuši parasto Hancom Office Viewer lietojumprogrammu un pārsaiņojuši to, lai tagad iekļautu patvaļīgu bojātu kodu. Rezultātā ieroču versijai ir pakotnes nosaukums, lietojumprogrammas nosaukums un ikona, kas ir ļoti līdzīga reālajai lietojumprogrammai. FastViewer ir aprīkots ar sertifikātu jks Java sertifikāta formātā.

Instalēšanas laikā draudi izmantos Android pieejamības atļaujas, jo tās ir nepieciešamas, lai atvieglotu daudzas tās apdraudošās darbības. Ja ļaunprogrammatūras pieprasījumi tiks izpildīti, FastViewer varēs saņemt komandas no saviem operatoriem, izveidot noturības mehānismus inficētajā ierīcē un uzsākt spiegošanas rutīnas.

Ļaunprātīgas programmatūras draudīgā uzvedība tiek aktivizēta, kad pārveidotā lietojumprogramma tiek izmantota, lai skenētu dokumentu, ko īpaši izstrādājuši Kimsuki kibernoziedznieki. Fails tiks pārveidots par parastu dokumentu un parādīts lietotājam, savukārt kaitīgā rīcība notiek ierīces fonā. Draudi apkopos daudz informācijas no ierīces un izfiltrēs to uz tās komandu un kontroles serveri. Turklāt viena no galvenajām FastViewer funkcijām ir iegūt un izvietot trešo identificēto Kimsuky draudu - FastSpy. Šim kaitīgajam rīkam ir vairākas īpašības, kas ir diezgan līdzīgas atvērtā koda RAT ļaunprogrammatūrai, kas pazīstama kā AndroSpy.