FastFire

Tegen Mezo in Mobile Malware, Advanced Persistent Threat (APT)

Vertalen naar:

De APT-groep (Advanced Persistent Threat) Kimsuki heeft zijn kwaadaardige arsenaal verder uitgebreid door drie nieuwe malwarebedreigingen toe te voegen, volgens de bevindingen van cyberbeveiligingsexperts. De aanvalstools zijn door de onderzoekers van een Zuid-Koreaans cybersecuritybedrijf geanalyseerd en kregen de namen FastFire , FastViewer en FastSpy.

De hackergroep Kimsuki (Thallium, Black Banshee, Velvet Chollima) wordt verondersteld actief te zijn sinds ten minste 2012 en lijkt te worden gesteund door de Noord-Koreaanse regering. De aanvalsoperaties waren voornamelijk gericht op individuele doelen of organisaties in Zuid-Korea, Japan en de VS. Het schijnbare doel van de dreigende campagnes is het verzamelen van gevoelige informatie van de slachtoffers die werkzaam zijn in de media, politiek, onderzoek en diplomatie.

FastFire-details

De FastFire-dreiging is een mobiele dreiging die tekenen vertoont dat deze nog in actieve ontwikkeling is. De dreigende APK doet zich voor als een beveiligingsplug-in van Google. Nadat het op het Android-apparaat is geïnstalleerd, verbergt FastFire het opstartpictogram om te voorkomen dat het de aandacht van het slachtoffer trekt. De malware verzendt vervolgens een apparaattoken naar de Command-and-Control (C&C, C2) -servers van de operatie en wacht tot een opdracht wordt teruggestuurd. De communicatie tussen het geïnfecteerde apparaat en de C&C-servers verloopt via Firebase Base Messaging (FCM). Firebase is een mobiel ontwikkelplatform dat tal van essentiële functies biedt, waaronder realtime hosting van inhoud, databases, meldingen, sociale authenticatie en vele andere functies.

De primaire taak van FastFire lijkt het uitvoeren van een deeplink-oproepfunctie te zijn. Op het moment van onderzoek was deze functionaliteit echter nog niet volledig geïmplementeerd. De onderzoekers merken ook de aanwezigheid op van verschillende klassen die helemaal niet worden uitgevoerd.