FastFire

Nga Mezo në Mobile Malware, Advanced Persistent Threat (APT)

Përkthe në:

Grupi APT (Kërcënimi i Përparuar i Përhershëm) Kimsuki ka zgjeruar më tej arsenalin e tij keqdashës duke shtuar tre kërcënime të reja malware, sipas gjetjeve të ekspertëve të sigurisë kibernetike. Mjetet e sulmit u analizuan nga studiuesit në një kompani të sigurisë kibernetike të Koresë së Jugut dhe iu dhanë emrat FastFire , FastViewer dhe FastSpy.

Grupi i hakerëve Kimsuki (Thallium, Black Banshee, Velvet Chollima) besohet të ketë qenë aktiv që të paktën nga viti 2012 dhe duket se mbështetet nga qeveria e Koresë së Veriut. Operacionet e saj të sulmit janë fokusuar kryesisht në objektiva ose organizata individuale të vendosura në Korenë e Jugut, Japoni dhe SHBA. Qëllimi i dukshëm i fushatave kërcënuese është mbledhja e informacionit të ndjeshëm nga viktimat që punojnë në media, politikë, kërkime dhe diplomaci.

Detajet e FastFire

Kërcënimi FastFire është një kërcënim celular që tregon shenja se është ende në zhvillim aktiv. APK kërcënuese maskohet si një shtojcë sigurie e Google. Pasi të jetë instaluar në pajisjen Android, FastFire do të fshehë ikonën e lëshuesit për të shmangur tërheqjen e vëmendjes së viktimës. Malware më pas do të transmetojë një shenjë të pajisjes në serverët Command-and-Control (C&C, C2) të operacionit dhe do të presë që një komandë të kthehet. Komunikimi ndërmjet pajisjes së infektuar dhe serverëve C&C kryhet nëpërmjet Firebase Base Messaging (FCM). Firebase është një platformë zhvillimi celular që ofron funksione të shumta thelbësore, duke përfshirë pritjen në kohë reale të përmbajtjes, bazat e të dhënave, njoftimet, vërtetimin social, si dhe shumë funksione të tjera.

Detyra kryesore e FastFire duket të jetë ekzekutimi i një funksioni të thirrjes së lidhjeve të thella. Megjithatë, në momentin e hulumtimit, ky funksionalitet nuk ishte zbatuar plotësisht. Studiuesit vërejnë gjithashtu praninë e disa klasave që nuk janë ekzekutuar fare.