FastSpy

Tegen Mezo in Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Vertalen naar:

De groep Kimsuki APT (Advanced Persistent Threat) blijft zijn arsenaal aan bedreigende tools uitbreiden. De laatst geïdentificeerde toevoeging is een drietal mobiele bedreigingen die worden gebruikt in aanvalscampagnes gericht op Android-apparaten van slachtoffers. Details over de voorheen onbekende schadelijke bedreigingen die nu worden gevolgd als FastFire , FastViewer en FastSpy, zijn vrijgegeven in een rapport van malwareonderzoekers van een Zuid-Koreaans cyberbeveiligingsbedrijf.

De hackergroep Kimsuki wordt vermoedelijk gesteund door Noord-Korea. Haar activiteiten zijn terug te voeren tot 2012 en haar doelwitten zijn consequent gelokaliseerd in Zuid-Korea, Japan en de VS. De hackers hebben meestal cyberspionagecampagnes uitgevoerd die tot doel hebben gevoelige informatie te verzamelen van personen of organisaties die betrokken zijn bij de politiek, diplomatie, media- of onderzoekssectoren.

FastSpy-analyse

De FastSpy-dreiging wordt op de geïnfecteerde apparaten ingezet door de FastViewer in de vorige fase. De primaire functie van FastSpy is om de aanvallers afstandsbediening te geven over het apparaat van het slachtoffer. De dreiging kan extra privileges verkrijgen door dezelfde Android-toegangs-API-privileges te misbruiken die FastViewer probeert te verkrijgen. Dit wordt bereikt door een pop-up weer te geven waarin de benodigde toestemming wordt gevraagd en vervolgens wordt een klik op de knop 'Akkoord' gesimuleerd. Er is geen interactie van de gebruiker vereist. De methode vertoont verschillende kenmerken die vergelijkbaar zijn met wat eerder is waargenomen bij de Malibot- malwaredreiging, als een manier om de MFA (multi-factor authenticatie) van Google te omzeilen.

De opdringerige mogelijkheden van FasSpy omvatten het kapen van de telefoon, het verzamelen van sms-informatie, het volgen van de locatie van het apparaat en het in realtime bewaken van de camera, microfoon, luidspreker, huisartsen en andere functies. De Kimsuki-hackers kunnen de dreiging ook gebruiken om toegang te krijgen tot bestanden op het apparaat en deze naar de Command-and-Control-server van de operatie te persen. Opgemerkt moet worden dat de onderzoekers van S2W meerdere overeenkomsten hebben bevestigd in de naam van de methode, het berichtformaat, de code, functies, enz., tussen FastSpy en een open-source RAT (Remote Access Trojan) bekend als AndroSpy.