FastViewer

通过Mezo在 Mobile Malware, Remote Administration Tools

翻译为：

Kimsuki APT（高级持续威胁）继续扩大其威胁工具库。该组织据信与朝鲜有联系，至少自 2012 年以来，一直以韩国、日本和美国的个人和组织为目标。黑客专门从事网络间谍攻击活动，试图渗透在媒体、研究、外交和政治部门。

韩国一家网络安全公司的网络安全研究人员在一份报告中向公众公布了有关 Kimsuki 组织（Thallium、Black Banshee、Velvet Chollima）新恶意软件威胁的详细信息。研究人员能够识别出三种被跟踪为 FastFire、FastViewer 和 FastSpy 的移动威胁。

FastViewer 技术细节

FastViewer 威胁通过修改后的“Hancom Office Viewer”应用程序传播。正版软件工具是一个移动文档查看器，允许用户打开 Word、PDF、.hwp（韩文）和其他文档。真正的应用程序在 Google Play 商店的下载量超过 1000 万次。 Kimsuki 黑客采用了普通的 Hancom Office Viewer 应用程序并将其重新打包，现在包含任意损坏的代码。因此，武器化版本具有与真实应用极其相似的包名、应用名和图标。 FastViewer 配备了基于jks Java 证书格式的证书。

在安装过程中，威胁将利用 Android 的可访问权限，因为需要它们来促进其许多威胁行为。如果恶意软件的请求获得批准，FastViewer 将能够从其操作员那里接收命令，在受感染设备上建立持久性机制并启动间谍程序。

当修改后的应用程序用于扫描由 Kimsuki 网络犯罪分子特制的文档时，恶意软件的威胁行为就会被激活。该文件将被转换为普通文档并显示给用户，而有害行为则发生在设备的后台。威胁将从设备收集大量信息并将其渗透到其命令和控制服务器。此外，FastViewer 的主要功能之一是获取和部署第三个已识别的 Kimsuky 威胁 - FastSpy。这种破坏性工具具有多个特征，与称为 AndroSpy 的开源 RAT 恶意软件非常相似。