FastSpy

Sa pamamagitan ng Mezo sa Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Isalin To:

Ang grupong Kimsuki APT (Advanced Persistent Threat) ay patuloy na nagpapalawak ng arsenal ng mga tool na nagbabanta. Ang pinakabagong natukoy na karagdagan ay isang trio ng mga banta sa mobile na ginagamit sa mga kampanya ng pag-atake na nagta-target sa mga Android device ng mga biktima. Ang mga detalye tungkol sa dati nang hindi kilalang mapaminsalang banta na sinusubaybayan na ngayon bilang FastFire , FastViewer at FastSpy ay inilabas sa isang ulat ng mga mananaliksik ng malware mula sa isang kumpanya ng cybersecurity sa South Korea.

Ang grupong hacker ng Kimsuki ay pinaniniwalaang sinusuportahan ng North Korea. Ang mga aktibidad nito ay maaaring masubaybayan noong 2012 at ang mga target nito ay patuloy na matatagpuan sa South Korea, Japan at US Ang mga hacker ay kadalasang nagsagawa ng mga kampanyang cyberespionage na naglalayong mangolekta ng sensitibong impormasyon mula sa mga indibidwal o organisasyong sangkot sa pulitika, diplomasya, media o mga sektor ng pananaliksik.

Pagsusuri ng FastSpy

Ang banta ng FastSpy ay ipinakalat sa mga nahawaang device ng nakaraang yugto ng implant na FastViewer. Ang pangunahing function ng FastSpy ay upang bigyan ang mga umaatake ng remote control sa device ng biktima. Ang banta ay may kakayahang makakuha ng mga karagdagang pribilehiyo sa pamamagitan ng pag-abuso sa parehong mga pribilehiyo ng Android accessibility API na sinusubukang makuha ng FastViewer. Nakakamit ito sa pamamagitan ng pagpapakita ng isang pop-up na humihiling ng kinakailangang pahintulot at pagkatapos ay isang pag-click ang ginagaya sa pindutang 'Sumasang-ayon'. Walang kinakailangang pakikipag-ugnayan mula sa user. Ang pamamaraan ay nagpapakita ng ilang mga katangian na katulad ng kung ano ang dati nang naobserbahan sa banta ng malware ng Malibot , bilang isang paraan upang iwasan ang MFA (multi-factor authentication) ng Google.

Kasama sa mapanghimasok na mga kakayahan ng FasSpy ang pag-hijack ng telepono, pagkolekta ng impormasyon sa SMS, pagsubaybay sa lokasyon ng device, at pagsubaybay sa camera, mikropono, speaker, GP at iba pang mga function sa real time. Magagamit din ng mga hacker ng Kimsuki ang banta na i-access ang mga file sa device at i-exfiltrate ang mga ito sa Command-and-Control server ng operasyon. Dapat itong ituro na ang mga mananaliksik ng S2W ay nagkumpirma ng maraming pagkakatulad sa pangalan ng pamamaraan, format ng mensahe, code, mga function, atbp., sa pagitan ng FastSpy at isang open-source na RAT (Remote Access Trojan) na kilala na AndroSpy.