FastViewer

Nga Mezo në Mobile Malware, Remote Administration Tools

Përkthe në:

Kimsuki APT (Kërcënimi i Përparuar i Përhershëm) vazhdon të zgjerojë arsenalin e tij të mjeteve kërcënuese. Grupi besohet të ketë lidhje me Korenë e Veriut dhe, të paktën që nga viti 2012, ka shënjestruar individë dhe organizata nga Koreja e Jugut, Japonia dhe SHBA. sektorët e diplomacisë dhe politikës.

Detaje rreth kërcënimeve të reja malware të grupit Kimsuki (Thallium, Black Banshee, Velvet Chollima) u publikuan në një raport nga studiues të sigurisë kibernetike në një kompani të sigurisë kibernetike të Koresë së Jugut. Studiuesit ishin në gjendje të identifikonin tre kërcënime celulare të gjurmuara si FastFire, FastViewer dhe FastSpy.

Detajet teknike të FastViewer

Kërcënimi FastViewer përhapet nëpërmjet një aplikacioni të modifikuar 'Hancom Office Viewer'. Mjeti legjitim i softuerit është një shikues i dokumenteve celular që i lejon përdoruesit të hapin Word, PDF, .hwp (Hangul) dhe dokumente të tjera. Aplikacioni i vërtetë ka mbi 10 milionë shkarkime në Google Play Store. Hakerat Kimsuki kanë marrë aplikacionin normal të Hancom Office Viewer dhe e kanë ripaketuar atë për të përfshirë tani kodin e korruptuar arbitrar. Si rezultat, versioni i armatosur ka një emër pakete, emrin e aplikacionit dhe ikonën që janë jashtëzakonisht të ngjashme me aplikacionin real. FastViewer është i pajisur me një certifikatë në formatin e certifikatës së bazuar në Java jks .

Gjatë instalimit, kërcënimi do të shfrytëzojë lejet e aksesueshmërisë së Android, pasi ato nevojiten për të lehtësuar shumë nga veprimet e tij kërcënuese. Nëse kërkesat e malware plotësohen, FastViewer do të jetë në gjendje të marrë komanda nga operatorët e tij, të krijojë mekanizma të qëndrueshmërisë në pajisjen e infektuar dhe të nisë rutinat e spiunimit.

Sjellja kërcënuese e malware aktivizohet kur aplikacioni i modifikuar përdoret për të skanuar një dokument të krijuar posaçërisht nga kriminelët kibernetikë Kimsuki. Skedari do të konvertohej në një dokument normal dhe do t'i tregohej përdoruesit, ndërsa sjellja lënduese ndodh në sfondin e pajisjes. Kërcënimi do të mbledhë informacione të shumta nga pajisja dhe do t'i nxjerrë ato në serverin e tij Command-and-Control. Përveç kësaj, një nga funksionalitetet kryesore të FastViewer është të marrë dhe të vendosë kërcënimin e tretë të identifikuar Kimsuky - FastSpy. Ky mjet dëmtues shfaq karakteristika të shumta që janë mjaft të ngjashme me një malware RAT me burim të hapur, i njohur si AndroSpy.