FastViewer

Med Mezo år Mobile Malware, Remote Administration Tools

Översätt till:

Kimsuki APT (Advanced Persistent Threat) fortsätter att utöka sin arsenal av hotfulla verktyg. Gruppen tros ha band till Nordkorea och har sedan åtminstone 2012 riktat in sig på individer och organisationer från Sydkorea, Japan och USA. diplomati och politiska sektorer.

Detaljer om de nya skadliga hoten från Kimsuki-gruppen (Thallium, Black Banshee, Velvet Chollima) släpptes för allmänheten i en rapport från cybersäkerhetsforskare vid ett sydkoreanskt cybersäkerhetsföretag. Forskarna kunde identifiera tre mobilhot spårade som FastFire, FastViewer och FastSpy.

FastViewer tekniska detaljer

FastViewer-hotet sprids via en modifierad "Hancom Office Viewer"-applikation. Det legitima mjukvaruverktyget är en mobil dokumentvisare som tillåter användare att öppna Word, PDF, .hwp (Hangul) och andra dokument. Den riktiga applikationen har över 10 miljoner nedladdningar i Google Play Butik. Kimsuki-hackarna har tagit den vanliga Hancom Office Viewer-applikationen och packat om den för att nu inkludera godtycklig korrupt kod. Som ett resultat har den beväpnade versionen ett paketnamn, applikationsnamn och ikon som är extremt lika den verkliga applikationen. FastViewer är utrustad med ett certifikat i det jks Java-baserade certifikatformatet.

Under installationen kommer hotet att utnyttja Androids tillgänglighetsbehörigheter, eftersom de behövs för att underlätta många av dess hotfulla åtgärder. Om skadlig programvaras förfrågningar beviljas, kommer FastViewer att kunna ta emot kommandon från sina operatörer, etablera beständighetsmekanismer på den infekterade enheten och initiera spioneringsrutiner.

Det hotfulla beteendet hos skadlig programvara aktiveras när den modifierade applikationen används för att skanna ett dokument speciellt framställt av Kimsuki cyberbrottslingar. Filen skulle konverteras till ett normalt dokument och visas för användaren, medan det sårande beteendet sker i bakgrunden av enheten. Hotet kommer att samla in mängder av information från enheten och exfiltrera den till dess Command-and-Control-server. Dessutom är en av huvudfunktionerna i FastViewer att hämta och distribuera det tredje identifierade Kimsuky-hotet - FastSpy. Detta skadliga verktyg uppvisar flera egenskaper som liknar en RAT-skadlig programvara med öppen källkod, känd som AndroSpy.