FastFire

Por Mezo em Mobile Malware, Advanced Persistent Threat (APT)

Traduzir Para:

O grupo APT (Advanced Persistent Threat) Kimsuki expandiu ainda mais seu arsenal malicioso adicionando três novas ameaças de malware, de acordo com as descobertas de especialistas em segurança cibernética. As ferramentas de ataque foram analisadas pelos pesquisadores de uma empresa sul-coreana de segurança cibernética e receberam os nomes FastFire, FastViewer e FastSpy.

Acredita-se que o grupo de hackers Kimsuki (Thallium, Black Banshee, Velvet Chollima) esteja ativo desde pelo menos 2012 e parece ser apoiado pelo governo norte-coreano. Suas operações de ataque têm se concentrado principalmente em alvos individuais ou organizações localizadas na Coréia do Sul, Japão e Estados Unidos. O objetivo aparente das campanhas ameaçadoras é coletar informações confidenciais das vítimas que trabalham nas áreas de mídia, política, pesquisa e diplomacia.

Detalhes sobre o FastFire

A ameaça FastFire é uma ameaça móvel que mostra sinais de ainda estar em desenvolvimento ativo. O APK ameaçador se disfarça como um plug-in de segurança do Google. Após ser instalado no dispositivo Android, o FastFire ocultará seu ícone de inicialização para evitar atrair a atenção da vítima. O malware então transmitirá um token de dispositivo para os servidores de Comando e Controle (C&C, C2) da operação e aguardará que um comando seja enviado de volta. A comunicação entre o dispositivo infectado e os servidores C&C é realizada via Firebase Base Messaging (FCM). O Firebase é uma plataforma de desenvolvimento móvel que oferece inúmeras funções essenciais, incluindo hospedagem de conteúdo em tempo real, bancos de dados, notificações, autenticação social, além de muitas outras funções.

A principal tarefa do FastFire parece ser a execução de uma função de chamada de link direto. No entanto, no momento da pesquisa, essa funcionalidade não foi totalmente implementada. Os pesquisadores também notam a presença de várias classes que não são executadas.