FastFire

Đến năm Mezo năm Mobile Malware, Advanced Persistent Threat (APT)

Dịch sang:

Nhóm APT (Mối đe dọa liên tục nâng cao) Kimsuki đã mở rộng thêm kho vũ khí độc hại của mình bằng cách thêm ba mối đe dọa phần mềm độc hại mới, theo phát hiện của các chuyên gia an ninh mạng. Các công cụ tấn công đã được phân tích bởi các nhà nghiên cứu tại một công ty an ninh mạng của Hàn Quốc và được đặt tên là FastFire , FastViewer và FastSpy.

Nhóm hacker Kimsuki (Thallium, Black Banshee, Velvet Chollima) được cho là đã hoạt động ít nhất từ năm 2012 và dường như được chính phủ Triều Tiên hậu thuẫn. Các hoạt động tấn công của nó chủ yếu tập trung vào các mục tiêu cá nhân hoặc tổ chức ở Hàn Quốc, Nhật Bản và Mỹ. Mục tiêu rõ ràng của các chiến dịch đe dọa là thu thập thông tin nhạy cảm từ các nạn nhân làm việc trong lĩnh vực truyền thông, chính trị, nghiên cứu và ngoại giao.

Chi tiết FastFire

Mối đe dọa FastFire là một mối đe dọa di động có dấu hiệu vẫn đang được phát triển tích cực. APK đe dọa giả mạo như một plugin bảo mật của Google. Sau khi được cài đặt trên thiết bị Android, FastFire sẽ ẩn biểu tượng trình khởi chạy của nó để tránh thu hút sự chú ý của nạn nhân. Sau đó, phần mềm độc hại sẽ truyền mã thông báo thiết bị đến máy chủ Command-and-Control (C&C, C2) của hoạt động và chờ lệnh được gửi lại. Giao tiếp giữa thiết bị bị nhiễm và máy chủ C&C được thực hiện thông qua Firebase Base Messaging (FCM). Firebase là một nền tảng phát triển dành cho thiết bị di động cung cấp nhiều chức năng thiết yếu, bao gồm lưu trữ nội dung, cơ sở dữ liệu, thông báo, xác thực xã hội theo thời gian thực, cũng như nhiều chức năng khác.

Nhiệm vụ chính của FastFire dường như là thực hiện một chức năng gọi liên kết sâu. Tuy nhiên, tại thời điểm nghiên cứu, chức năng này vẫn chưa được triển khai đầy đủ. Các nhà nghiên cứu cũng lưu ý sự hiện diện của một số lớp hoàn toàn không được thực thi.