FastViewer

Până în Mezo în Mobile Malware, Remote Administration Tools

Tradu in:

Kimsuki APT (Advanced Persistent Threat) continuă să-și extindă arsenalul de instrumente amenințătoare. Se crede că grupul are legături cu Coreea de Nord și, cel puțin din 2012, vizează persoane și organizații din Coreea de Sud, Japonia și SUA. Hackerii sunt specializați în campanii de atacuri de spionaj cibernetic, încercând să se infiltreze în entități care lucrează în mass-media, cercetare, diplomație și sectoare politice.

Detalii despre noile amenințări malware ale grupului Kimsuki (Thallium, Black Banshee, Velvet Chollima) au fost făcute publice într-un raport realizat de cercetătorii în domeniul securității cibernetice de la o companie de securitate cibernetică din Coreea de Sud. Cercetătorii au reușit să identifice trei amenințări mobile urmărite ca FastFire, FastViewer și FastSpy.

Detalii tehnice FastViewer

Amenințarea FastViewer este răspândită prin intermediul unei aplicații modificate „Hancom Office Viewer”. Instrumentul software legitim este un vizualizator de documente mobil care permite utilizatorilor să deschidă Word, PDF, .hwp (Hangul) și alte documente. Aplicația reală are peste 10 milioane de descărcări pe Google Play Store. Hackerii Kimsuki au luat aplicația normală Hancom Office Viewer și au reambalat-o pentru a include acum cod corupt arbitrar. Drept urmare, versiunea cu arme are un nume de pachet, un nume de aplicație și o pictogramă care sunt extrem de asemănătoare cu aplicația reală. FastViewer este echipat cu un certificat în formatul de certificat bazat pe Java jks .

În timpul instalării, amenințarea va exploata permisiunile de accesibilitate ale Android, deoarece acestea sunt necesare pentru a facilita multe dintre acțiunile sale amenințătoare. Dacă solicitările malware-ului sunt acceptate, FastViewer va putea primi comenzi de la operatorii săi, va putea stabili mecanisme de persistență pe dispozitivul infectat și va iniția rutine de spionaj.

Comportamentul amenințător al malware-ului este activat atunci când aplicația modificată este utilizată pentru a scana un document special creat de infractorii cibernetici Kimsuki. Fișierul va fi convertit într-un document normal și afișat utilizatorului, în timp ce comportamentul vătămător are loc în fundalul dispozitivului. Amenințarea va colecta numeroase informații de pe dispozitiv și le va exfiltra pe serverul său de comandă și control. În plus, una dintre principalele funcționalități ale FastViewer este preluarea și implementarea celei de-a treia amenințări Kimsuky identificate - FastSpy. Acest instrument dăunător prezintă caracteristici multiple care sunt destul de similare cu un malware RAT open-source, cunoscut sub numele de AndroSpy.