FastSpy

Por Mezo em Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Traduzir Para:

O grupo Kimsuki APT (Ameaça Persistente Avançada) continua a expandir seu arsenal de ferramentas ameaçadoras. A última adição identificada é um trio de ameaças móveis utilizadas em campanhas de ataque direcionadas aos dispositivos Android das vítimas. Detalhes sobre as ameaças prejudiciais anteriormente desconhecidas agora rastreadas como FastFire, FastViewer e FastSpy foram divulgados em um relatório por pesquisadores de malware de uma empresa sul-coreana de segurança cibernética.

Acredita-se que o grupo de hackers Kimsuki seja apoiado pela Coreia do Norte. Suas atividades podem ser rastreadas desde 2012 e seus alvos foram consistentemente localizados na Coréia do Sul, Japão e EUA. Os hackers realizaram principalmente campanhas de ciberespionagem que visam coletar informações confidenciais de indivíduos ou organizações envolvidas na política, diplomacia, mídia ou setores de pesquisa.

Análise FastSpy

A ameaça FastSpy é implantada nos dispositivos infectados pelo implante FastViewer do estágio anterior. A principal função do FastSpy é fornecer aos invasores controle remoto sobre o dispositivo da vítima. A ameaça é capaz de adquirir privilégios adicionais ao abusar dos mesmos privilégios da API de acessibilidade do Android que o FastViewer tenta obter. Ele consegue isso exibindo um pop-up solicitando a permissão necessária e, em seguida, um clique é simulado no botão 'Concordo'. Nenhuma interação do usuário é necessária. O método apresenta várias características semelhantes ao que foi observado anteriormente na ameaça do malware Malibot, como forma de burlar a MFA (autenticação multifator) do Google.

Os recursos intrusivos do FasSpy incluem seqüestro do telefone, coleta de informações SMS, rastreamento da localização do dispositivo e monitoramento da câmera, microfone, alto-falante, GPs e outras funções em tempo real. Os hackers do Kimsuki também podem utilizar a ameaça para acessar arquivos no dispositivo e extraí-los para o servidor de Comando e Controle da operação. Deve-se ressaltar que os pesquisadores da S2W confirmaram várias semelhanças no nome do método, formato da mensagem, código, funções, etc., entre o FastSpy e um RAT (Remote Access Trojan) de código aberto conhecido como AndroSpy.