FastSpy

Nga Mezo në Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Përkthe në:

Grupi Kimsuki APT (Kërcënimi i Përparuar i Përparuar) vazhdon të zgjerojë arsenalin e tij të mjeteve kërcënuese. Shtesa më e fundit e identifikuar është një treshe kërcënimesh celulare të përdorura në fushatat e sulmeve që synojnë pajisjet Android të viktimave. Detajet rreth kërcënimeve të dëmshme të panjohura më parë, tani të gjurmuara si FastFire , FastViewer dhe FastSpy u publikuan në një raport nga studiues të malware nga një kompani e sigurisë kibernetike të Koresë së Jugut.

Grupi i hakerëve Kimsuki besohet se mbështetet nga Koreja e Veriut. Aktivitetet e saj mund të gjurmohen që në vitin 2012 dhe objektivat e tij janë vendosur vazhdimisht në Korenë e Jugut, Japoni dhe SHBA. media apo sektorët e kërkimit.

Analiza FastSpy

Kërcënimi FastSpy është vendosur në pajisjet e infektuara nga implanti i fazës së mëparshme FastViewer. Funksioni kryesor i FastSpy është t'u sigurojë sulmuesve kontrollin në distancë mbi pajisjen e viktimës. Kërcënimi është në gjendje të marrë privilegje shtesë duke abuzuar të njëjtat privilegje të API të aksesueshmërisë së Android që FastViewer përpiqet të marrë. Ai e arrin këtë duke shfaqur një dritare kërcyese që kërkon lejen e nevojshme dhe më pas një klikim simulohet në butonin "Pajtohem". Asnjë ndërveprim nga përdoruesi nuk kërkohet. Metoda shfaq disa karakteristika që janë të ngjashme me atë që është vërejtur më parë në kërcënimin e malware Malibot , si një mënyrë për të anashkaluar MFA të Google (autentifikimi me shumë faktorë).

Aftësitë ndërhyrëse të FasSpy përfshijnë rrëmbimin e telefonit, mbledhjen e informacionit SMS, gjurmimin e vendndodhjes së pajisjes dhe monitorimin e kamerës, mikrofonit, altoparlantit, mjekëve të përgjithshëm dhe funksioneve të tjera në kohë reale. Hakerët Kimsuki gjithashtu mund të përdorin kërcënimin për të hyrë në skedarë në pajisje dhe për t'i shfrytëzuar ato në serverin Command-and-Control të operacionit. Duhet të theksohet se studiuesit e S2W konfirmuan ngjashmëri të shumta në emrin e metodës, formatin e mesazhit, kodin, funksionet, etj., midis FastSpy dhe një RAT me burim të hapur (Remote Access Trojan) të njohur AndroSpy.