FastViewer

Menjelang Mezo pada Mobile Malware, Remote Administration Tools

Terjemahkan ke

Kimsuki APT (Ancaman Berterusan Lanjutan) terus mengembangkan senjata alat mengancamnya. Kumpulan itu dipercayai mempunyai hubungan dengan Korea Utara dan, sejak sekurang-kurangnya 2012, telah menyasarkan individu dan organisasi dari Korea Selatan, Jepun dan AS Penggodam pakar dalam kempen serangan pengintipan siber, cuba menyusup entiti yang bekerja di media, penyelidikan, diplomasi dan sektor politik.

Butiran tentang ancaman perisian hasad baharu kumpulan Kimsuki (Thallium, Black Banshee, Velvet Chollima) telah dikeluarkan kepada umum dalam laporan oleh penyelidik keselamatan siber di sebuah syarikat keselamatan siber Korea Selatan. Para penyelidik dapat mengenal pasti tiga ancaman mudah alih yang dikesan sebagai FastFire, FastViewer dan FastSpy.

Butiran Teknikal FastViewer

Ancaman FastViewer disebarkan melalui aplikasi 'Hancom Office Viewer' yang diubah suai. Alat perisian yang sah ialah pemapar dokumen mudah alih yang membolehkan pengguna membuka Word, PDF, .hwp (Hangul) dan dokumen lain. Aplikasi sebenar mempunyai lebih 10 juta muat turun di Gedung Google Play. Penggodam Kimsuki telah menggunakan aplikasi Hancom Office Viewer biasa dan membungkusnya semula untuk memasukkan kod rosak sewenang-wenangnya. Akibatnya, versi bersenjata mempunyai nama pakej, nama aplikasi, dan ikon yang sangat serupa dengan aplikasi sebenar. FastViewer dilengkapi dengan sijil dalam format sijil berasaskan Java jks .

Semasa pemasangan, ancaman akan mengeksploitasi kebenaran kebolehaksesan Android, kerana ia diperlukan untuk memudahkan banyak tindakan mengancamnya. Jika permintaan perisian hasad itu diberikan, FastViewer akan dapat menerima arahan daripada pengendalinya, mewujudkan mekanisme kegigihan pada peranti yang dijangkiti dan memulakan rutin pengintipan.

Tingkah laku mengancam perisian hasad diaktifkan apabila aplikasi yang diubah suai digunakan untuk mengimbas dokumen yang direka khas oleh penjenayah siber Kimsuki. Fail itu akan ditukar kepada dokumen biasa dan ditunjukkan kepada pengguna, manakala tingkah laku yang menyakitkan berlaku di latar belakang peranti. Ancaman itu akan mengumpul banyak maklumat daripada peranti dan mengeluarkannya ke pelayan Perintah-dan-Kawalannya. Di samping itu, salah satu fungsi utama FastViewer adalah untuk mengambil dan menggunakan ancaman Kimsuky ketiga yang dikenal pasti - FastSpy. Alat yang merosakkan ini mempamerkan pelbagai ciri yang agak serupa dengan perisian hasad RAT sumber terbuka, yang dikenali sebagai AndroSpy.