FastFire

Până în Mezo în Mobile Malware, Advanced Persistent Threat (APT)

Tradu in:

Grupul APT (Advanced Persistent Threat) Kimsuki și-a extins și mai mult arsenalul rău intenționat prin adăugarea a trei noi amenințări malware, conform constatărilor experților în securitate cibernetică. Instrumentele de atac au fost analizate de cercetătorii unei companii de securitate cibernetică din Coreea de Sud și au primit numele FastFire , FastViewer și FastSpy.

Se crede că grupul de hackeri Kimsuki (Thallium, Black Banshee, Velvet Chollima) este activ din 2012 și pare să fie susținut de guvernul nord-coreean. Operațiunile sale de atac s-au concentrat în mare parte asupra țintelor individuale sau organizațiilor situate în Coreea de Sud, Japonia și SUA. Scopul aparent al campaniilor de amenințare este acela de a aduna informații sensibile de la victimele care lucrează în mass-media, politică, cercetare și diplomație.

Detalii FastFire

Amenințarea FastFire este o amenințare mobilă care dă semne că este încă în curs de dezvoltare activă. APK-ul amenințător se preface ca un plug-in de securitate Google. După ce a fost instalat pe dispozitivul Android, FastFire își va ascunde pictograma de lansare pentru a evita atragerea atenției victimei. Malware-ul va transmite apoi un token de dispozitiv către serverele de comandă și control (C&C, C2) ale operațiunii și va aștepta ca o comandă să fie trimisă înapoi. Comunicarea între dispozitivul infectat și serverele C&C se realizează prin Firebase Base Messaging (FCM). Firebase este o platformă de dezvoltare mobilă care oferă numeroase funcții esențiale, inclusiv găzduirea în timp real a conținutului, baze de date, notificări, autentificare socială, precum și multe alte funcții.

Sarcina principală a FastFire pare să fie executarea unei funcții de apelare a unei legături profunde. Cu toate acestea, în momentul cercetării, această funcționalitate nu a fost implementată în totalitate. Cercetătorii notează și prezența mai multor clase care nu sunt executate deloc.