FastViewer

Mezo'de Mobile Malware, Remote Administration Tools'de

Çevir:

Kimsuki APT (Gelişmiş Kalıcı Tehdit), tehdit araçları cephaneliğini genişletmeye devam ediyor. Grubun Kuzey Kore ile bağları olduğuna inanılıyor ve en az 2012'den beri Güney Kore, Japonya ve ABD'den kişi ve kuruluşları hedef alıyor Bilgisayar korsanları, medya, araştırma, diplomasi ve siyasi sektörler.

Kimsuki grubunun (Thallium, Black Banshee, Velvet Chollima) yeni kötü amaçlı yazılım tehditleriyle ilgili ayrıntılar, Güney Koreli bir siber güvenlik şirketindeki siber güvenlik araştırmacıları tarafından hazırlanan bir raporda kamuoyuna açıklandı. Araştırmacılar FastFire, FastViewer ve FastSpy olarak takip edilen üç mobil tehdidi tespit edebildiler.

FastViewer Teknik Detayları

FastViewer tehdidi, değiştirilmiş bir 'Hancom Office Viewer' uygulaması aracılığıyla yayılır. Yasal yazılım aracı, kullanıcıların Word, PDF, .hwp (Hangul) ve diğer belgeleri açmasına olanak tanıyan bir mobil belge görüntüleyicidir. Gerçek uygulama Google Play Store'da 10 milyonun üzerinde indirilmiştir. Kimsuki bilgisayar korsanları, normal Hancom Office Viewer uygulamasını aldı ve şimdi rastgele bozuk kod içerecek şekilde yeniden paketledi. Sonuç olarak, silahlı sürüm, gerçek uygulamaya son derece benzeyen bir paket adına, uygulama adına ve simgeye sahiptir. FastViewer, jks Java tabanlı sertifika biçiminde bir sertifika ile donatılmıştır.

Yükleme sırasında, tehdit edici eylemlerinin çoğunu kolaylaştırmak için gerekli olduğundan, tehdit Android'in erişilebilirlik izinlerinden yararlanacaktır. Kötü amaçlı yazılımın istekleri kabul edilirse, FastViewer operatörlerinden komutlar alabilecek, virüslü cihazda kalıcılık mekanizmaları kurabilecek ve casusluk rutinleri başlatabilecek.

Kötü amaçlı yazılımın tehdit edici davranışı, değiştirilen uygulama Kimsuki siber suçluları tarafından özel olarak hazırlanmış bir belgeyi taramak için kullanıldığında etkinleştirilir. Dosya, normal bir belgeye dönüştürülür ve kullanıcıya gösterilirken, incitici davranış cihazın arka planında gerçekleşir. Tehdit, cihazdan çok sayıda bilgi toplayacak ve onu Komuta ve Kontrol sunucusuna aktaracaktır. Ek olarak, FastViewer'ın ana işlevlerinden biri, tanımlanan üçüncü Kimsuky tehdidi olan FastSpy'ı getirmek ve dağıtmaktır. Bu zarar verici araç, AndroSpy olarak bilinen açık kaynaklı bir RAT kötü amaçlı yazılımına oldukça benzeyen birden çok özellik sergiler.