FastFire

Menjelang Mezo pada Mobile Malware, Advanced Persistent Threat (APT)

Terjemahkan ke

Kumpulan APT (Advanced Persistent Threat) Kimsuki telah mengembangkan lagi senjata jahatnya dengan menambah tiga ancaman perisian hasad baharu, menurut penemuan pakar keselamatan siber. Alat serangan telah dianalisis oleh penyelidik di sebuah syarikat keselamatan siber Korea Selatan dan diberi nama FastFire , FastViewer dan FastSpy.

Kumpulan penggodam Kimsuki (Thallium, Black Banshee, Velvet Chollima) dipercayai telah aktif sejak sekurang-kurangnya 2012 dan nampaknya disokong oleh kerajaan Korea Utara. Operasi serangannya kebanyakannya tertumpu kepada sasaran individu atau organisasi yang terletak di Korea Selatan, Jepun dan AS Matlamat jelas kempen yang mengancam adalah untuk mengumpulkan maklumat sensitif daripada mangsa yang bekerja dalam bidang media, politik, penyelidikan dan diplomasi.

Butiran FastFire

Ancaman FastFire ialah ancaman mudah alih yang menunjukkan tanda-tanda masih dalam pembangunan aktif. APK yang mengancam menyamar sebagai pemalam keselamatan Google. Selepas dipasang pada peranti Android, FastFire akan menyembunyikan ikon pelancarnya untuk mengelak daripada menarik perhatian mangsa. Malware kemudian akan menghantar token peranti ke pelayan Command-and-Control (C&C, C2) operasi dan menunggu arahan dihantar semula. Komunikasi antara peranti yang dijangkiti dan pelayan C&C dijalankan melalui Pemesejan Pangkalan Firebase (FCM). Firebase ialah platform pembangunan mudah alih yang menawarkan pelbagai fungsi penting, termasuk pengehosan masa nyata kandungan, pangkalan data, pemberitahuan, pengesahan sosial, serta banyak fungsi lain.

Tugas utama FastFire nampaknya ialah pelaksanaan fungsi panggilan pautan dalam. Walau bagaimanapun, pada masa penyelidikan, fungsi ini tidak dilaksanakan sepenuhnya. Para penyelidik juga mencatatkan kehadiran beberapa kelas yang tidak dilaksanakan sama sekali.