FastViewer

До Mezo. у Mobile Malware, Remote Administration Tools

Преведи на:

Кимсуки АПТ (Адванцед Персистент Тхреат) наставља да шири свој арсенал претећих алата. Верује се да група има везе са Северном Корејом и да, најмање од 2012, циља на појединце и организације из Јужне Кореје, Јапана и САД. Хакери су специјализовани за кампање сајбер шпијунаже, покушавајући да се инфилтрирају у ентитете који раде у медијима, истраживања, дипломатије и политичког сектора.

Детаљи о новим претњама злонамерног софтвера групе Кимсуки (Тхаллиум, Блацк Бансхее, Велвет Цхоллима) објављени су јавности у извештају истраживача сајбер безбедности у јужнокорејској компанији за сајбер безбедност. Истраживачи су успели да идентификују три мобилне претње праћене као ФастФире, ФастВиевер и ФастСпи.

Технички детаљи ФастВиевер-а

ФастВиевер претња се шири преко модификоване апликације 'Ханцом Оффице Виевер'. Легитимни софтверски алат је мобилни прегледач докумената који омогућава корисницима да отворе Ворд, ПДФ, .хвп (Хангул) и друге документе. Права апликација има преко 10 милиона преузимања на Гоогле Плаи продавници. Кимсуки хакери су узели нормалну апликацију Ханцом Оффице Виевер и препаковали је тако да сада укључује произвољни оштећени код. Као резултат тога, наоружана верзија има назив пакета, назив апликације и икону који су изузетно слични правој апликацији. ФастВиевер је опремљен сертификатом у формату сертификата заснованом на јкс Јава.

Током инсталације, претња ће искористити Андроид-ове дозволе приступачности, јер су оне потребне да би се олакшале многе од његових претећих радњи. Ако захтеви малвера буду одобрени, ФастВиевер ће моћи да прима команде од својих оператера, да успостави механизме постојаности на зараженом уређају и покрене рутине шпијунирања.

Претеће понашање малвера се активира када се модификована апликација користи за скенирање документа који су посебно направили Кимсуки сајбер криминалци. Датотека би била конвертована у нормалан документ и приказана кориснику, док се штетно понашање дешава у позадини уређаја. Претња ће прикупити бројне информације са уређаја и ексфилтрирати их на његов Цомманд-анд-Цонтрол сервер. Поред тога, једна од главних функционалности ФастВиевер-а је да преузме и примени трећу идентификовану Кимсуки претњу - ФастСпи. Овај штетни алат показује вишеструке карактеристике које су прилично сличне РАТ малверу отвореног кода, познатом као АндроСпи.