FastFire

К Mezo году в Mobile Malware, Advanced Persistent Threat (APT) году

Перевести на:

Согласно выводам экспертов по кибербезопасности, группа APT (Advanced Persistent Threat) Kimsuki еще больше расширила свой вредоносный арсенал, добавив три новых вредоносных угрозы. Инструменты атаки были проанализированы исследователями южнокорейской компании по кибербезопасности и получили названия FastFire , FastViewer и FastSpy.

Считается, что хакерская группа Kimsuki (Thallium, Black Banshee, Velvet Chollima) действует по крайней мере с 2012 года и, по-видимому, поддерживается правительством Северной Кореи. Его операции по нападению в основном были сосредоточены на отдельных целях или организациях, расположенных в Южной Корее, Японии и США. Очевидной целью кампаний угроз является сбор конфиденциальной информации от жертв, работающих в области СМИ, политики, исследований и дипломатии.

Сведения о FastFire

Угроза FastFire — это мобильная угроза, которая все еще находится в стадии активной разработки. Угрожающий APK маскируется под подключаемый модуль безопасности Google. После установки на Android-устройство FastFire скроет свой значок запуска, чтобы не привлекать внимание жертвы. Затем вредоносное ПО передаст токен устройства на серверы управления и контроля операции (C&C, C2) и будет ждать отправки команды обратно. Связь между зараженным устройством и командными серверами осуществляется через Firebase Base Messaging (FCM). Firebase — это платформа для разработки мобильных приложений, которая предлагает множество важных функций, включая размещение контента в режиме реального времени, базы данных, уведомления, социальную аутентификацию, а также многие другие функции.

Основной задачей FastFire является выполнение функции вызова глубокой ссылки. Однако на момент исследования этот функционал не был полностью реализован. Также исследователи отмечают наличие нескольких классов, которые вообще не выполняются.