FastViewer

Kimsuki APT (Advanced Persistent Threat) wciąż poszerza swój arsenał narzędzi grożących. Uważa się, że grupa ta ma powiązania z Koreą Północną i od co najmniej 2012 roku atakuje osoby i organizacje z Korei Południowej, Japonii i USA. Hakerzy specjalizują się w kampaniach ataków cyberszpiegowskich, próbując infiltrować podmioty działające w mediach, badaniach, dyplomacji i sektorów politycznych.

Szczegóły dotyczące nowych zagrożeń złośliwym oprogramowaniem grupy Kimsuki (Thallium, Black Banshee, Velvet Chollima) zostały ujawnione opinii publicznej w raporcie opracowanym przez badaczy cyberbezpieczeństwa z południowokoreańskiej firmy zajmującej się cyberbezpieczeństwem. Badacze byli w stanie zidentyfikować trzy zagrożenia mobilne śledzone jako FastFire, FastViewer i FastSpy.

Szczegóły techniczne FastViewer

Zagrożenie FastViewer rozprzestrzenia się za pośrednictwem zmodyfikowanej aplikacji „Hancom Office Viewer”. Prawidłowe narzędzie programowe to mobilna przeglądarka dokumentów, która umożliwia użytkownikom otwieranie dokumentów Word, PDF, .hwp (Hangul) i innych. Prawdziwa aplikacja ma ponad 10 milionów pobrań w sklepie Google Play. Hakerzy Kimsuki przejęli normalną aplikację Hancom Office Viewer i przepakowali ją, aby zawierała teraz dowolny uszkodzony kod. W rezultacie uzbrojona wersja ma nazwę pakietu, nazwę aplikacji i ikonę, które są bardzo podobne do prawdziwej aplikacji. FastViewer jest wyposażony w certyfikat w formacie certyfikatu jks Java.

Podczas instalacji zagrożenie wykorzysta uprawnienia dostępu Androida, ponieważ są one potrzebne do ułatwienia wielu groźnych działań. Jeśli żądania szkodliwego oprogramowania zostaną spełnione, FastViewer będzie mógł odbierać polecenia od swoich operatorów, ustanawiać mechanizmy trwałości na zainfekowanym urządzeniu i inicjować procedury szpiegowskie.

Zagrażające zachowanie szkodliwego oprogramowania jest aktywowane, gdy zmodyfikowana aplikacja jest używana do skanowania dokumentu specjalnie spreparowanego przez cyberprzestępców Kimsuki. Plik zostałby przekonwertowany na normalny dokument i pokazany użytkownikowi, podczas gdy szkodliwe zachowanie ma miejsce w tle urządzenia. Zagrożenie zbierze liczne informacje z urządzenia i wyeksportuje je na swój serwer Command-and-Control. Ponadto jedną z głównych funkcji FastViewer jest pobieranie i wdrażanie trzeciego zidentyfikowanego zagrożenia Kimsuky - FastSpy. To szkodliwe narzędzie wykazuje wiele cech, które są raczej podobne do złośliwego oprogramowania RAT o otwartym kodzie źródłowym, znanego jako AndroSpy.

FastViewer wideo

Wskazówka: Proszę włączyć dźwięk ON i oglądać filmy w trybie pełnoekranowym.

Popularne

Najczęściej oglądane

Ładowanie...