FastFire
Według ustaleń ekspertów ds. cyberbezpieczeństwa, grupa Kimsuki APT (Advanced Persistent Threat) rozszerzyła swój arsenał złośliwego oprogramowania, dodając trzy nowe zagrożenia. Narzędzia ataku zostały przeanalizowane przez badaczy z południowokoreańskiej firmy zajmującej się cyberbezpieczeństwem i otrzymały nazwy FastFire , FastViewer i FastSpy.
Uważa się, że grupa hakerów Kimsuki (Thallium, Black Banshee, Velvet Chollima) jest aktywna od co najmniej 2012 roku i wydaje się być wspierana przez rząd Korei Północnej. Jego operacje ataków koncentrowały się głównie na pojedynczych celach lub organizacjach zlokalizowanych w Korei Południowej, Japonii i Stanach Zjednoczonych. Oczywistym celem groźnych kampanii jest zebranie wrażliwych informacji od ofiar pracujących w mediach, polityce, badaniach i dyplomacji.
Szczegóły FastFire
Zagrożenie FastFire to zagrożenie mobilne, które wykazuje oznaki, że nadal jest aktywnie rozwijane. Groźny pakiet APK podszywa się pod wtyczkę bezpieczeństwa Google. Po zainstalowaniu na urządzeniu z Androidem FastFire ukryje ikonę programu uruchamiającego, aby nie przyciągnąć uwagi ofiary. Szkodnik prześle następnie token urządzenia do serwerów operacji Command-and-Control (C&C, C2) i będzie czekał na odesłanie polecenia. Komunikacja między zainfekowanym urządzeniem a serwerami C&C odbywa się za pośrednictwem Firebase Base Messaging (FCM). Firebase to mobilna platforma programistyczna, która oferuje wiele istotnych funkcji, w tym hosting treści w czasie rzeczywistym, bazy danych, powiadomienia, uwierzytelnianie społecznościowe oraz wiele innych funkcji.
Wydaje się, że głównym zadaniem FastFire jest wykonanie funkcji głębokiego wywoływania linków. Jednak w momencie badań ta funkcjonalność nie była w pełni zaimplementowana. Naukowcy zwracają również uwagę na obecność kilku klas, które w ogóle nie są realizowane.
FastFire wideo
Wskazówka: Proszę włączyć dźwięk ON i oglądać filmy w trybie pełnoekranowym.
