FastViewer

Do leta Mezo leta Mobile Malware, Remote Administration Tools

Prevedi v:

Kimsuki APT (Advanced Persistent Threat) še naprej širi svoj arzenal orodij za grožnje. Skupina naj bi bila povezana s Severno Korejo in je vsaj od leta 2012 tarča posameznikov in organizacij iz Južne Koreje, Japonske in ZDA. Hekerji so specializirani za kibernetsko vohunjenje in se poskušajo infiltrirati v subjekte, ki delujejo v medijih, raziskavah, diplomaciji in političnem sektorju.

Podrobnosti o novih grožnjah z zlonamerno programsko opremo skupine Kimsuki (Thallium, Black Banshee, Velvet Chollima) so bile objavljene v poročilu raziskovalcev kibernetske varnosti v južnokorejskem podjetju za kibernetsko varnost. Raziskovalci so lahko identificirali tri mobilne grožnje, ki so jim sledili kot FastFire, FastViewer in FastSpy.

Tehnične podrobnosti FastViewerja

Grožnja FastViewer se širi prek spremenjene aplikacije 'Hancom Office Viewer'. Zakonito programsko orodje je mobilni pregledovalnik dokumentov, ki uporabnikom omogoča odpiranje dokumentov Word, PDF, .hwp (Hangul) in drugih dokumentov. Prava aplikacija ima več kot 10 milijonov prenosov v trgovini Google Play. Hekerji Kimsuki so vzeli običajno aplikacijo Hancom Office Viewer in jo prepakirali tako, da zdaj vključuje poljubno poškodovano kodo. Posledično ima različica z orožjem ime paketa, ime aplikacije in ikono, ki so izjemno podobni pravi aplikaciji. FastViewer je opremljen s certifikatom v obliki certifikata jks , ki temelji na Javi.

Med namestitvijo bo grožnja izkoriščala dovoljenja za dostopnost Androida, saj so potrebna za olajšanje številnih grozečih dejanj. Če so zahteve zlonamerne programske opreme odobrene, bo FastViewer lahko prejemal ukaze svojih operaterjev, vzpostavil mehanizme obstojnosti na okuženi napravi in sprožil vohunske rutine.

Nevarno vedenje zlonamerne programske opreme se aktivira, ko se spremenjena aplikacija uporabi za skeniranje dokumenta, ki so ga posebej izdelali kiberkriminalci Kimsuki. Datoteka bi bila pretvorjena v običajen dokument in prikazana uporabniku, medtem ko se škodljivo vedenje odvija v ozadju naprave. Grožnja bo zbrala številne podatke iz naprave in jih prenesla na njen strežnik za ukazovanje in nadzor. Poleg tega je ena od glavnih funkcij FastViewerja pridobivanje in uvajanje tretje ugotovljene grožnje Kimsuky - FastSpy. To škodljivo orodje ima številne značilnosti, ki so precej podobne odprtokodni zlonamerni programski opremi RAT, znani kot AndroSpy.