FastViewer

Sa pamamagitan ng Mezo sa Mobile Malware, Remote Administration Tools

Isalin To:

Ang Kimsuki APT (Advanced Persistent Threat) ay patuloy na nagpapalawak ng arsenal nito ng mga tool sa pagbabanta. Ang grupo ay pinaniniwalaang may kaugnayan sa Hilagang Korea at, mula noong hindi bababa sa 2012, ay nagta-target sa mga indibidwal at organisasyon mula sa South Korea, Japan at US Ang mga hacker ay dalubhasa sa mga kampanya sa pag-atake ng cyberespionage, sinusubukang makalusot sa mga entity na nagtatrabaho sa media, pananaliksik, diplomasya at pulitikal na sektor.

Ang mga detalye tungkol sa mga bagong banta ng malware ng grupong Kimsuki (Thallium, Black Banshee, Velvet Chollima) ay inilabas sa publiko sa isang ulat ng mga mananaliksik ng cybersecurity sa isang kumpanya ng cybersecurity sa South Korea. Natukoy ng mga mananaliksik ang tatlong banta sa mobile na sinusubaybayan bilang FastFire, FastViewer at FastSpy.

Mga Teknikal na Detalye ng FastViewer

Ang banta ng FastViewer ay kumakalat sa pamamagitan ng binagong 'Hancom Office Viewer' na application. Ang lehitimong software tool ay isang mobile document viewer na nagbibigay-daan sa mga user na magbukas ng Word, PDF, .hwp (Hangul) at iba pang mga dokumento. Ang totoong application ay may higit sa 10 milyong pag-download sa Google Play Store. Kinuha ng mga hacker ng Kimsuki ang normal na application ng Hancom Office Viewer at ni-repack ito upang maisama na ngayon ang di-makatwirang sirang code. Bilang resulta, ang weaponized na bersyon ay may pangalan ng package, pangalan ng application, at icon na lubos na katulad ng tunay na application. Ang FastViewer ay nilagyan ng isang sertipiko sa jks Java-based na format ng sertipiko.

Sa panahon ng pag-install, sasamantalahin ng banta ang mga pahintulot sa accessibility ng Android, dahil kailangan ang mga ito upang mapadali ang marami sa mga nagbabantang aksyon nito. Kung pagbibigyan ang mga kahilingan ng malware, makakatanggap ang FastViewer ng mga utos mula sa mga operator nito, makakapagtatag ng mga mekanismo ng pagtitiyaga sa nahawaang device at makakapagsimula ng mga gawain sa pag-espiya.

Ang nagbabantang gawi ng malware ay isinaaktibo kapag ang binagong application ay ginamit upang i-scan ang isang dokumento na espesyal na ginawa ng mga cybercriminal ng Kimsuki. Ang file ay mako-convert sa isang normal na dokumento at ipapakita sa user, habang ang masakit na gawi ay nagaganap sa background ng device. Mangongolekta ang banta ng maraming impormasyon mula sa device at i-exfiltrate ito sa Command-and-Control server nito. Bilang karagdagan, ang isa sa mga pangunahing pag-andar ng FastViewer ay ang kunin at i-deploy ang ikatlong natukoy na banta ng Kimsuky - FastSpy. Ang nakakapinsalang tool na ito ay nagpapakita ng maraming katangian na medyo katulad ng isang open-source na RAT malware, na kilala bilang AndroSpy.