FastFire

Med Mezo i Mobile Malware, Advanced Persistent Threat (APT)

Oversett til:

APT-gruppen (Advanced Persistent Threat) Kimsuki har utvidet sitt ondsinnede arsenal ytterligere ved å legge til tre nye malware-trusler, ifølge funnene til eksperter på nettsikkerhet. Angrepsverktøyene ble analysert av forskerne ved et sørkoreansk cybersikkerhetsselskap og fikk navnene FastFire , FastViewer og FastSpy.

Kimsuki-hackergruppen (Thallium, Black Banshee, Velvet Chollima) antas å ha vært aktiv siden minst 2012 og ser ut til å være støttet av den nordkoreanske regjeringen. Dens angrepsoperasjoner har hovedsakelig vært fokusert på individuelle mål eller organisasjoner lokalisert i Sør-Korea, Japan og USA. Det tilsynelatende målet med de truende kampanjene er å samle inn sensitiv informasjon fra ofrene som arbeider innen media, politikk, forskning og diplomati.

FastFire-detaljer

FastFire-trusselen er en mobiltrussel som viser tegn til fortsatt å være under aktiv utvikling. Den truende APK-en maskerer seg som en Google-sikkerhetsplugin. Etter å ha blitt installert på Android-enheten, vil FastFire skjule startikonet for å unngå å tiltrekke oppmerksomheten til offeret. Skadevaren vil deretter overføre et enhetstoken til operasjonens Command-and-Control-servere (C&C, C2) og vente på at en kommando sendes tilbake. Kommunikasjon mellom den infiserte enheten og C&C-serverne utføres via Firebase Base Messaging (FCM). Firebase er en mobil utviklingsplattform som tilbyr en rekke viktige funksjoner, inkludert sanntids hosting av innhold, databaser, varsler, sosial autentisering, samt mange andre funksjoner.

Den primære oppgaven til FastFire ser ut til å være utførelsen av en dyplink-oppringingsfunksjon. Imidlertid var denne funksjonaliteten ikke fullt ut implementert i forskningsøyeblikket. Forskerne bemerker også tilstedeværelsen av flere klasser som ikke blir henrettet i det hele tatt.