SzybkiSzpieg

Do Mezo w Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Przetłumacz na:

Grupa Kimsuki APT (Advanced Persistent Threat) nadal poszerza swój arsenał narzędzi grożących. Ostatnio zidentyfikowany dodatek to trio zagrożeń mobilnych wykorzystywanych w kampaniach ataków wymierzonych w urządzenia z systemem Android ofiar. Szczegóły dotyczące wcześniej nieznanych szkodliwych zagrożeń śledzonych teraz jako FastFire , FastViewer i FastSpy zostały opublikowane w raporcie przez badaczy szkodliwego oprogramowania z południowokoreańskiej firmy zajmującej się cyberbezpieczeństwem.

Uważa się, że grupa hakerów Kimsuki jest wspierana przez Koreę Północną. Jej działalność można prześledzić już w 2012 roku, a jej cele były konsekwentnie zlokalizowane w Korei Południowej, Japonii i USA Hakerzy prowadzili głównie kampanie cyberszpiegowskie, których celem jest zbieranie wrażliwych informacji od osób lub organizacji zaangażowanych w politykę, dyplomację, sektory mediów lub badań.

Analiza FastSpy

Zagrożenie FastSpy jest wdrażane na zainfekowanych urządzeniach przez implant FastViewer z poprzedniego etapu. Podstawową funkcją FastSpy jest zapewnienie atakującym zdalnej kontroli nad urządzeniem ofiary. Zagrożenie może uzyskać dodatkowe uprawnienia, nadużywając tych samych uprawnień interfejsu API ułatwień dostępu w systemie Android, które próbuje uzyskać FastViewer. Osiąga to, wyświetlając wyskakujące okienko z prośbą o wymagane pozwolenie, a następnie symulowane jest kliknięcie przycisku „Zgadzam się”. Nie jest wymagana żadna interakcja ze strony użytkownika. Metoda ta wykazuje kilka cech, które są podobne do tego, co zaobserwowano wcześniej w zagrożeniu złośliwym oprogramowaniem Malibot , jako sposób na obejście MFA Google (uwierzytelnianie wieloskładnikowe).

Intruzywne możliwości FasSpy obejmują porwanie telefonu, zbieranie informacji SMS, śledzenie lokalizacji urządzenia oraz monitorowanie kamery, mikrofonu, głośnika, GPS i innych funkcji w czasie rzeczywistym. Hakerzy Kimsuki mogą również wykorzystać to zagrożenie, aby uzyskać dostęp do plików na urządzeniu i przenieść je na serwer operacji dowodzenia i kontroli. Należy podkreślić, że badacze S2W potwierdzili liczne podobieństwa w nazwie metody, formacie wiadomości, kodzie, funkcjach itp., między FastSpy a open-source RAT (Remote Access Trojan) znanym jako AndroSpy.