FastViewer

Tegen Mezo in Mobile Malware, Remote Administration Tools

Vertalen naar:

De Kimsuki APT (Advanced Persistent Threat) blijft zijn arsenaal aan bedreigende tools uitbreiden. De groep zou banden hebben met Noord-Korea en richt zich sinds ten minste 2012 op individuen en organisaties uit Zuid-Korea, Japan en de VS. diplomatie en politieke sectoren.

Details over de nieuwe malwarebedreigingen van de Kimsuki-groep (Thallium, Black Banshee, Velvet Chollima) zijn openbaar gemaakt in een rapport van cybersecurity-onderzoekers van een Zuid-Koreaans cybersecuritybedrijf. De onderzoekers konden drie mobiele bedreigingen identificeren die werden gevolgd als FastFire, FastViewer en FastSpy.

Technische details FastViewer

De FastViewer-dreiging wordt verspreid via een aangepaste 'Hancom Office Viewer'-applicatie. De legitieme softwaretool is een mobiele documentviewer waarmee gebruikers Word, PDF, .hwp (Hangul) en andere documenten kunnen openen. De echte applicatie heeft meer dan 10 miljoen downloads in de Google Play Store. De Kimsuki-hackers hebben de normale Hancom Office Viewer-toepassing genomen en deze opnieuw verpakt om nu willekeurige corrupte code op te nemen. Als gevolg hiervan heeft de bewapende versie een pakketnaam, applicatienaam en pictogram die sterk lijken op de echte applicatie. FastViewer is uitgerust met een certificaat in het op jks Java gebaseerde certificaatformaat.

Tijdens de installatie maakt de dreiging misbruik van de toegankelijkheidsrechten van Android, omdat deze nodig zijn om veel van zijn bedreigende acties mogelijk te maken. Als de verzoeken van de malware worden ingewilligd, kan FastViewer opdrachten van zijn operators ontvangen, persistentiemechanismen instellen op het geïnfecteerde apparaat en spionageroutines starten.

Het bedreigende gedrag van de malware wordt geactiveerd wanneer de aangepaste applicatie wordt gebruikt om een document te scannen dat speciaal is gemaakt door Kimsuki-cybercriminelen. Het bestand zou worden omgezet naar een normaal document en aan de gebruiker worden getoond, terwijl het kwetsende gedrag op de achtergrond van het apparaat plaatsvindt. De dreiging verzamelt talloze informatie van het apparaat en exfiltreert deze naar de Command-and-Control-server. Bovendien is een van de belangrijkste functies van FastViewer het ophalen en inzetten van de derde geïdentificeerde Kimsuky-bedreiging - FastSpy. Deze schadelijke tool vertoont meerdere kenmerken die nogal lijken op een open-source RAT-malware, bekend als AndroSpy.