FastSpy

Med Mezo i Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Oversett til:

Kimsuki APT (Advanced Persistent Threat)-gruppen fortsetter å utvide sitt arsenal av truende verktøy. Det siste identifiserte tillegget er en trio av mobile trusler brukt i angrepskampanjer rettet mot ofrenes Android-enheter. Detaljer om de tidligere ukjente skadelige truslene som nå spores som FastFire , FastViewer og FastSpy ble utgitt i en rapport fra skadevareforskere fra et sørkoreansk cybersikkerhetsselskap.

Kimsuki-hackergruppen antas å være støttet av Nord-Korea. Aktivitetene kan spores så langt tilbake som i 2012, og målene har konsekvent vært lokalisert i Sør-Korea, Japan og USA. Hackerne har stort sett gjennomført cyberspionasjekampanjer som tar sikte på å samle inn sensitiv informasjon fra enkeltpersoner eller organisasjoner som er involvert i politikk, diplomati, medie- eller forskningssektorer.

FastSpy-analyse

FastSpy-trusselen er utplassert på de infiserte enhetene av det forrige implantatet FastViewer. Den primære funksjonen til FastSpy er å gi angriperne fjernkontroll over offerets enhet. Trusselen er i stand til å skaffe seg ytterligere privilegier ved å misbruke de samme Android Accessibility API-privilegiene som FastViewer forsøker å oppnå. Den oppnår dette ved å vise en pop-up som ber om nødvendig tillatelse, og deretter simuleres et klikk på 'Godta'-knappen. Ingen interaksjon fra brukeren er nødvendig. Metoden viser flere egenskaper som ligner på det som tidligere har blitt observert i Malibot malware-trusselen, som en måte å omgå Googles MFA (multi-factor authentication).

De påtrengende egenskapene til FasSpy inkluderer kapring av telefonen, innsamling av SMS-informasjon, sporing av enhetens plassering og overvåking av kamera, mikrofon, høyttaler, fastleger og andre funksjoner i sanntid. Kimsuki-hackerne kan også bruke trusselen for å få tilgang til filer på enheten og eksfiltrere dem til operasjonens Command-and-Control-server. Det skal påpekes at S2Ws forskere bekreftet flere likheter i metodenavn, meldingsformat, kode, funksjoner osv. mellom FastSpy og en åpen kildekode RAT (Remote Access Trojan) kjent AndroSpy.