FastViewer

Do roku Mezo v roku Mobile Malware, Remote Administration Tools

Preložiť do:

Kimsuki APT (Advanced Persistent Threat) pokračuje v rozširovaní svojho arzenálu ohrozujúcich nástrojov. Predpokladá sa, že skupina má väzby na Severnú Kóreu a prinajmenšom od roku 2012 sa zameriava na jednotlivcov a organizácie z Južnej Kórey, Japonska a USA. Hackeri sa špecializujú na kyberšpionážne útočné kampane, snažia sa infiltrovať subjekty pracujúce v médiách, výskume, diplomacie a politického sektora.

Podrobnosti o nových malvérových hrozbách skupiny Kimsuki (Thallium, Black Banshee, Velvet Chollima) boli zverejnené v správe výskumníkov kybernetickej bezpečnosti v juhokórejskej spoločnosti zaoberajúcej sa kybernetickou bezpečnosťou. Výskumníkom sa podarilo identifikovať tri mobilné hrozby sledované ako FastFire, FastViewer a FastSpy.

Technické podrobnosti FastViewer

Hrozba FastViewer sa šíri prostredníctvom upravenej aplikácie „Hancom Office Viewer“. Legitímnym softvérovým nástrojom je mobilný prehliadač dokumentov, ktorý používateľom umožňuje otvárať dokumenty Word, PDF, .hwp (Hangul) a ďalšie dokumenty. Skutočná aplikácia má v obchode Google Play viac ako 10 miliónov stiahnutí. Hackeri Kimsuki vzali normálnu aplikáciu Hancom Office Viewer a prebalili ju tak, aby teraz obsahovala svojvoľne poškodený kód. Výsledkom je, že zbraňová verzia má názov balíka, názov aplikácie a ikonu, ktoré sú veľmi podobné skutočnej aplikácii. FastViewer je vybavený certifikátom vo formáte certifikátu jks Java.

Počas inštalácie bude hrozba využívať povolenia na prístupnosť systému Android, pretože sú potrebné na uľahčenie mnohých jeho ohrozujúcich akcií. Ak budú požiadavky malvéru vyhovené, FastViewer bude môcť prijímať príkazy od svojich operátorov, zaviesť mechanizmy perzistencie na infikovanom zariadení a iniciovať špionážne rutiny.

Hrozivé správanie malvéru sa aktivuje, keď sa upravená aplikácia použije na skenovanie dokumentu špeciálne vytvoreného kyberzločincami Kimsuki. Súbor by sa skonvertoval na normálny dokument a ukázal by sa používateľovi, pričom zraňujúce správanie sa odohráva na pozadí zariadenia. Hrozba zhromaždí množstvo informácií zo zariadenia a prenesie ich na jeho server velenia a riadenia. Okrem toho je jednou z hlavných funkcií FastViewer načítanie a nasadenie tretej identifikovanej hrozby Kimsuky – FastSpy. Tento škodlivý nástroj vykazuje viaceré vlastnosti, ktoré sú skôr podobné open-source malvéru RAT, známemu ako AndroSpy.