FastSpy

Până în Mezo în Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Tradu in:

Grupul Kimsuki APT (Advanced Persistent Threat) continuă să-și extindă arsenalul de instrumente amenințătoare. Cea mai recentă adăugare identificată este un trio de amenințări mobile utilizate în campaniile de atac care vizează dispozitivele Android ale victimelor. Detalii despre amenințările dăunătoare necunoscute anterior, urmărite acum ca FastFire , FastViewer și FastSpy, au fost publicate într-un raport de cercetătorii de malware de la o companie de securitate cibernetică din Coreea de Sud.

Se crede că grupul de hackeri Kimsuki este susținut de Coreea de Nord. Activitățile sale pot fi urmărite încă din 2012, iar țintele sale au fost localizate în mod constant în Coreea de Sud, Japonia și SUA. Hackerii au desfășurat în mare parte campanii de spionaj cibernetic care urmăresc să colecteze informații sensibile de la persoane sau organizații implicate în politică, diplomație, mass-media sau sectoare de cercetare.

Analiza FastSpy

Amenințarea FastSpy este implementată pe dispozitivele infectate de către implantul FastViewer din etapa anterioară. Funcția principală a FastSpy este de a oferi atacatorilor controlul de la distanță asupra dispozitivului victimei. Amenințarea este capabilă să obțină privilegii suplimentare abuzând de aceleași privilegii API de accesibilitate Android pe care FastViewer încearcă să le obțină. Se realizează acest lucru prin afișarea unui pop-up care solicită permisiunea necesară și apoi se simula un clic pe butonul „De acord”. Nu este necesară nicio interacțiune din partea utilizatorului. Metoda prezintă mai multe caracteristici care sunt similare cu ceea ce a fost observat anterior în amenințarea malware Malibot , ca o modalitate de a ocoli MFA (autentificare multifactor) de la Google.

Capacitățile intruzive ale FasSpy includ deturnarea telefonului, colectarea de informații SMS, urmărirea locației dispozitivului și monitorizarea camerei, microfonului, difuzorului, GP-urilor și a altor funcții în timp real. De asemenea, hackerii Kimsuki pot folosi amenințarea pentru a accesa fișierele de pe dispozitiv și le pot exfiltra pe serverul de comandă și control al operațiunii. Trebuie subliniat că cercetătorii S2W au confirmat multiple asemănări în ceea ce privește numele metodei, formatul mesajului, codul, funcțiile etc., între FastSpy și un RAT (Remote Access Trojan) open-source cunoscut AndroSpy.