FastViewer

До Mezo року в Mobile Malware, Remote Administration Tools році

Перекласти на:

Kimsuki APT (Advanced Persistent Threat) продовжує розширювати свій арсенал засобів захисту від загроз. Вважається, що група пов’язана з Північною Кореєю і, принаймні з 2012 року, нападає на окремих осіб і організації з Південної Кореї, Японії та США. Хакери спеціалізуються на кампаніях кібершпигунських атак, намагаючись проникнути в організації, які працюють у ЗМІ, дослідженнях, дипломатії та політичного сектора.

Подробиці про нові загрози зловмисного програмного забезпечення групи Kimsuki (Thallium, Black Banshee, Velvet Chollima) були оприлюднені у звіті дослідників кібербезпеки південнокорейської компанії з кібербезпеки. Дослідники змогли ідентифікувати три мобільні загрози, які відстежуються як FastFire, FastViewer і FastSpy.

Технічні деталі FastViewer

Загроза FastViewer поширюється через модифіковану програму «Hancom Office Viewer». Законним програмним інструментом є програма для перегляду мобільних документів, яка дозволяє користувачам відкривати документи Word, PDF, .hwp (хангул) та інші документи. Реальний додаток має понад 10 мільйонів завантажень у Google Play Store. Хакери Kimsuki взяли звичайну програму Hancom Office Viewer і перепакували її, щоб тепер включити довільний пошкоджений код. У результаті назва пакета, назва програми та піктограма озброєної версії дуже схожі на реальну програму. FastViewer оснащено сертифікатом у форматі сертифіката на основі Java jks .

Під час інсталяції загроза використовуватиме дозволи доступності Android, оскільки вони необхідні для полегшення багатьох її загрозливих дій. Якщо запити зловмисного програмного забезпечення будуть задоволені, FastViewer зможе отримувати команди від своїх операторів, установлювати механізми збереження на зараженому пристрої та ініціювати шпигунські процедури.

Загрозлива поведінка шкідливого програмного забезпечення активується, коли модифікована програма використовується для сканування документа, спеціально створеного кіберзлочинцями Kimsuki. Файл буде перетворено на звичайний документ і показано користувачеві, тоді як шкідлива поведінка відбувається у фоновому режимі пристрою. Загроза збиратиме численні відомості з пристрою та передаватиме їх на сервер командування та керування. Крім того, однією з основних функцій FastViewer є отримання та розгортання третьої ідентифікованої загрози Kimsuky — FastSpy. Цей шкідливий інструмент демонструє численні характеристики, які досить схожі на зловмисне програмне забезпечення RAT з відкритим кодом, відоме як AndroSpy.