FastFire

Med Mezo år Mobile Malware, Advanced Persistent Threat (APT)

Översätt till:

APT-gruppen (Advanced Persistent Threat) Kimsuki har utökat sin skadliga arsenal ytterligare genom att lägga till tre nya skadliga hot, enligt resultaten från cybersäkerhetsexperter. Attackverktygen analyserades av forskarna vid ett sydkoreanskt cybersäkerhetsföretag och fick namnen FastFire , FastViewer och FastSpy.

Hackergruppen Kimsuki (Thallium, Black Banshee, Velvet Chollima) tros ha varit aktiv sedan åtminstone 2012 och verkar ha stöd av den nordkoreanska regeringen. Dess attackoperationer har mestadels varit inriktade på enskilda mål eller organisationer i Sydkorea, Japan och USA. Det uppenbara målet med de hotfulla kampanjerna är att samla in känslig information från offren som arbetar inom media, politik, forskning och diplomati.

FastFire detaljer

FastFire-hotet är ett mobilhot som visar tecken på att fortfarande vara under aktiv utveckling. Den hotfulla APK-filen maskerar sig som en Googles säkerhetsplugin. Efter att ha installerats på Android-enheten kommer FastFire att dölja sin startikon för att undvika att dra till sig offrets uppmärksamhet. Skadlig programvara kommer sedan att överföra en enhetstoken till operationens Command-and-Control-servrar (C&C, C2) och vänta på att ett kommando skickas tillbaka. Kommunikation mellan den infekterade enheten och C&C-servrarna sker via Firebase Base Messaging (FCM). Firebase är en mobil utvecklingsplattform som erbjuder många viktiga funktioner, inklusive realtidsvärd för innehåll, databaser, aviseringar, social autentisering, såväl som många andra funktioner.

Den primära uppgiften för FastFire verkar vara att utföra en djuplänksuppringningsfunktion. Men vid undersökningsögonblicket var denna funktionalitet inte fullt implementerad. Forskarna noterar också förekomsten av flera klasser som inte avrättas alls.