FastSpy

К Mezo году в Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools году

Перевести на:

Группа Kimsuki APT (Advanced Persistent Threat) продолжает расширять свой арсенал угрожающих инструментов. Последним обнаруженным дополнением является трио мобильных угроз, используемых в кампаниях атак, нацеленных на устройства Android жертв. Подробности о ранее неизвестных вредоносных угрозах, которые теперь отслеживаются как FastFire , FastViewer и FastSpy, были опубликованы в отчете исследователей вредоносных программ из южнокорейской компании по кибербезопасности.

Считается, что хакерская группа Kimsuki поддерживается Северной Кореей. Его деятельность можно проследить еще в 2012 году, и его цели постоянно находились в Южной Корее, Японии и США. Хакеры в основном проводили кампании кибершпионажа, направленные на сбор конфиденциальной информации от отдельных лиц или организаций, занимающихся политикой, средства массовой информации или научные исследования.

Анализ FastSpy

Угроза FastSpy развертывается на зараженных устройствах с помощью имплантата предыдущей стадии FastViewer. Основная функция FastSpy — предоставить злоумышленникам удаленный контроль над устройством жертвы. Угроза способна получить дополнительные привилегии, злоупотребляя теми же привилегиями API специальных возможностей Android, которые пытается получить FastViewer. Это достигается путем отображения всплывающего окна с запросом необходимого разрешения, а затем имитируется щелчок по кнопке «Согласен». Никакого взаимодействия со стороны пользователя не требуется. Этот метод имеет несколько характеристик, аналогичных тем, которые ранее наблюдались в угрозе вредоносного ПО Malibot , как способ обойти Google MFA (многофакторную аутентификацию).

Навязчивые возможности FasSpy включают захват телефона, сбор SMS-информации, отслеживание местоположения устройства и мониторинг камеры, микрофона, динамика, GPS и других функций в режиме реального времени. Хакеры Kimsuki также могут использовать угрозу для доступа к файлам на устройстве и их эксфильтрации на командно-контрольный сервер операции. Следует отметить, что исследователи S2W подтвердили многочисленные сходства в названии метода, формате сообщения, коде, функциях и т. д. между FastSpy и RAT (трояном удаленного доступа) с открытым исходным кодом, известным AndroSpy.