FastSpy

Do roku Mezo v roku Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Preložiť do:

Skupina Kimsuki APT (Advanced Persistent Threat) pokračuje v rozširovaní svojho arzenálu ohrozujúcich nástrojov. Posledným identifikovaným prírastkom je trio mobilných hrozieb využívaných v útočných kampaniach zameraných na zariadenia Android obetí. Podrobnosti o predtým neznámych škodlivých hrozbách, ktoré sú teraz sledované ako FastFire , FastViewer a FastSpy, boli zverejnené v správe výskumníkov malvéru z juhokórejskej spoločnosti zaoberajúcej sa kybernetickou bezpečnosťou.

Predpokladá sa, že skupina hackerov Kimsuki je podporovaná Severnou Kóreou. Jej aktivity možno vysledovať už od roku 2012 a jej ciele sa neustále nachádzajú v Južnej Kórei, Japonsku a USA. Hackeri väčšinou uskutočňujú kyberšpionážne kampane, ktorých cieľom je zhromažďovať citlivé informácie od jednotlivcov alebo organizácií zapojených do politiky, diplomacie, atď. mediálne alebo výskumné sektory.

FastSpy analýza

Hrozba FastSpy je nasadená na infikované zariadenia pomocou predchádzajúcej fázy implantátu FastViewer. Primárnou funkciou FastSpy je poskytnúť útočníkom diaľkovú kontrolu nad zariadením obete. Hrozba je schopná získať ďalšie privilégiá zneužitím rovnakých privilégií API dostupnosti pre Android, ktoré sa pokúša získať FastViewer. Dosahuje to zobrazením kontextového okna so žiadosťou o potrebné povolenie a potom sa simuluje kliknutie na tlačidlo „Súhlasím“. Nevyžaduje sa žiadna interakcia používateľa. Metóda vykazuje niekoľko charakteristík, ktoré sú podobné tým, ktoré boli predtým pozorované pri hrozbe škodlivého softvéru Malibot , ako spôsob, ako obísť MFA (viacfaktorové overenie) spoločnosti Google.

Medzi rušivé schopnosti FasSpy patrí únos telefónu, zbieranie SMS informácií, sledovanie polohy zariadenia a monitorovanie kamery, mikrofónu, reproduktora, GP a ďalších funkcií v reálnom čase. Hackeri Kimsuki môžu tiež využiť hrozbu na prístup k súborom na zariadení a exfiltrovať ich na server velenia a riadenia operácie. Je potrebné zdôrazniť, že výskumníci S2W potvrdili viaceré podobnosti v názve metódy, formáte správy, kóde, funkciách atď. medzi FastSpy a open-source RAT (Remote Access Trojan) známym AndroSpy.