FastFire

Do roku Mezo v roku Mobile Malware, Advanced Persistent Threat (APT)

Preložiť do:

Skupina APT (Advanced Persistent Threat) Kimsuki ďalej rozšírila svoj škodlivý arzenál pridaním troch nových malvérových hrozieb, podľa zistení expertov na kybernetickú bezpečnosť. Útočné nástroje analyzovali vedci z juhokórejskej spoločnosti zaoberajúcej sa kybernetickou bezpečnosťou a dostali názvy FastFire , FastViewer a FastSpy.

Predpokladá sa, že skupina hackerov Kimsuki (Thallium, Black Banshee, Velvet Chollima) je aktívna prinajmenšom od roku 2012 a zdá sa, že ju podporuje severokórejská vláda. Jej útočné operácie boli väčšinou zamerané na jednotlivé ciele alebo organizácie nachádzajúce sa v Južnej Kórei, Japonsku a USA. Zjavným cieľom hrozivých kampaní je zhromaždiť citlivé informácie od obetí pracujúcich v médiách, politike, výskume a diplomacii.

Podrobnosti FastFire

Hrozba FastFire je mobilná hrozba, ktorá vykazuje známky stále aktívneho vývoja. Hrozivý súbor APK sa vydáva za bezpečnostný doplnok Google. Po nainštalovaní do zariadenia s Androidom FastFire skryje svoju spúšťaciu ikonu, aby neupútala pozornosť obete. Malvér potom odošle token zariadenia na servery Command-and-Control (C&C, C2) operácie a počká na odoslanie príkazu späť. Komunikácia medzi infikovaným zariadením a servermi C&C prebieha cez Firebase Base Messaging (FCM). Firebase je mobilná vývojová platforma, ktorá ponúka množstvo základných funkcií, vrátane hosťovania obsahu v reálnom čase, databáz, upozornení, sociálnej autentifikácie, ako aj mnohých ďalších funkcií.

Zdá sa, že primárnou úlohou FastFire je vykonávanie funkcie volania priameho odkazu. V momente výskumu však táto funkcionalita nebola plne implementovaná. Výskumníci tiež zaznamenali prítomnosť niekoľkých tried, ktoré sa vôbec nevykonávajú.