FastSpy

Med Mezo år Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Översätt till:

Kimsuki APT-gruppen (Advanced Persistent Threat) fortsätter att utöka sin arsenal av hotfulla verktyg. Det senaste identifierade tillägget är en trio av mobilhot som används i attackkampanjer riktade mot offrens Android-enheter. Detaljer om de tidigare okända skadliga hoten som nu spåras som FastFire , FastViewer och FastSpy släpptes i en rapport av skadlig programvara forskare från ett sydkoreanskt cybersäkerhetsföretag.

Hackergruppen Kimsuki tros ha stöd av Nordkorea. Dess aktiviteter kan spåras så långt tillbaka som 2012 och dess mål har konsekvent funnits i Sydkorea, Japan och USA. Hackarna har mestadels genomfört cyberspionagekampanjer som syftar till att samla in känslig information från individer eller organisationer som är involverade i politik, diplomati, media eller forskningssektorer.

FastSpy Analys

FastSpy-hotet distribueras på de infekterade enheterna av det tidigare implantatet FastViewer. FastSpys primära funktion är att förse angriparna med fjärrkontroll över offrets enhet. Hotet kan erhålla ytterligare privilegier genom att missbruka samma Android Accessibility API-privilegier som FastViewer försöker få. Den uppnår detta genom att visa ett popup-fönster som begär den behörighet som behövs och sedan simuleras ett klick på knappen "Godkänn". Ingen interaktion från användaren krävs. Metoden uppvisar flera egenskaper som liknar det som tidigare observerats i Malibot malware-hotet, som ett sätt att kringgå Googles MFA (multi-factor authentication).

De påträngande funktionerna hos FasSpy inkluderar att kapa telefonen, samla in SMS-information, spåra enhetens plats och övervaka kameran, mikrofonen, högtalaren, GPs och andra funktioner i realtid. Kimsuki-hackarna kan också använda hotet för att komma åt filer på enheten och exfiltrera dem till operationens Command-and-Control-server. Det bör påpekas att S2W:s forskare bekräftade flera likheter i metodnamn, meddelandeformat, kod, funktioner etc. mellan FastSpy och en öppen källkod RAT (Remote Access Trojan) känd AndroSpy.