FastViewer

Med Mezo i Mobile Malware, Remote Administration Tools

Oversett til:

Kimsuki APT (Advanced Persistent Threat) fortsetter å utvide sitt arsenal av truende verktøy. Gruppen antas å ha bånd til Nord-Korea og har siden minst 2012 vært rettet mot enkeltpersoner og organisasjoner fra Sør-Korea, Japan og USA. Hackerne spesialiserer seg på nettspionasjeangrepskampanjer, prøver å infiltrere enheter som jobber i media, forskning, diplomati og politiske sektorer.

Detaljer om de nye malware-truslene fra Kimsuki-gruppen (Thallium, Black Banshee, Velvet Chollima) ble offentliggjort i en rapport fra cybersikkerhetsforskere ved et sørkoreansk cybersikkerhetsselskap. Forskerne var i stand til å identifisere tre mobile trusler sporet som FastFire, FastViewer og FastSpy.

FastViewer tekniske detaljer

FastViewer-trusselen spres via en modifisert 'Hancom Office Viewer'-applikasjon. Det legitime programvareverktøyet er en mobil dokumentviser som lar brukere åpne Word, PDF, .hwp (Hangul) og andre dokumenter. Den virkelige applikasjonen har over 10 millioner nedlastinger i Google Play Store. Kimsuki-hackerne har tatt den vanlige Hancom Office Viewer-applikasjonen og pakket den om til å inkludere vilkårlig ødelagt kode. Som et resultat har den bevæpnede versjonen et pakkenavn, applikasjonsnavn og ikon som er ekstremt lik den virkelige applikasjonen. FastViewer er utstyrt med et sertifikat i det jks Java-baserte sertifikatformatet.

Under installasjonen vil trusselen utnytte Androids tilgjengelighetstillatelser, da de er nødvendige for å lette mange av dens truende handlinger. Hvis skadevarens forespørsler blir innvilget, vil FastViewer kunne motta kommandoer fra operatørene, etablere utholdenhetsmekanismer på den infiserte enheten og starte spioneringsrutiner.

Den truende oppførselen til skadelig programvare aktiveres når den modifiserte applikasjonen brukes til å skanne et dokument spesiallaget av Kimsuki-nettkriminelle. Filen vil bli konvertert til et vanlig dokument og vist til brukeren, mens den sårende oppførselen finner sted i bakgrunnen på enheten. Trusselen vil samle inn mange opplysninger fra enheten og eksfiltrere den til Command-and-Control-serveren. I tillegg er en av hovedfunksjonene til FastViewer å hente og distribuere den tredje identifiserte Kimsuky-trusselen - FastSpy. Dette skadelige verktøyet viser flere egenskaper som er ganske lik en åpen kildekode RAT malware, kjent som AndroSpy.