FastViewer

До Mezo през Mobile Malware, Remote Administration Toolsг

Превод на:

Kimsuki APT (Advanced Persistent Threat) продължава да разширява своя арсенал от заплашителни инструменти. Смята се, че групата има връзки със Северна Корея и най-малко от 2012 г. е насочена към лица и организации от Южна Корея, Япония и САЩ. Хакерите са специализирани в кампании за кибершпионаж, опитвайки се да проникнат в организации, работещи в медиите, изследванията, дипломация и политически сектори.

Подробности за новите заплахи за зловреден софтуер на групата Kimsuki (Thallium, Black Banshee, Velvet Chollima) бяха публикувани на обществеността в доклад от изследователи по киберсигурност в южнокорейска компания за киберсигурност. Изследователите успяха да идентифицират три мобилни заплахи, проследени като FastFire, FastViewer и FastSpy.

Технически подробности за FastViewer

Заплахата FastViewer се разпространява чрез модифицирано приложение „Hancom Office Viewer“. Законният софтуерен инструмент е мобилен преглед на документи, който позволява на потребителите да отварят Word, PDF, .hwp (хангул) и други документи. Истинското приложение има над 10 милиона изтегляния в Google Play Store. Хакерите на Kimsuki са взели нормалното приложение Hancom Office Viewer и са го преопаковали, за да включва произволен повреден код. В резултат на това оръжейната версия има име на пакет, име на приложение и икона, които са изключително подобни на истинското приложение. FastViewer е оборудван със сертификат във формат на сертификат, базиран на jks Java.

По време на инсталирането заплахата ще използва разрешенията за достъпност на Android, тъй като те са необходими за улесняване на много от нейните заплашителни действия. Ако заявките на злонамерения софтуер бъдат удовлетворени, FastViewer ще може да получава команди от своите оператори, да установява механизми за устойчивост на заразеното устройство и да инициира шпионски процедури.

Заплашителното поведение на зловреден софтуер се активира, когато модифицираното приложение се използва за сканиране на документ, специално създаден от киберпрестъпниците на Kimsuki. Файлът ще бъде преобразуван в нормален документ и ще бъде показан на потребителя, докато вредното поведение се извършва на заден план на устройството. Заплахата ще събере много информация от устройството и ще я прехвърли към неговия сървър за командване и управление. В допълнение, една от основните функции на FastViewer е да извлича и внедрява третата идентифицирана заплаха Kimsuky - FastSpy. Този вреден инструмент показва множество характеристики, които са доста подобни на зловреден софтуер RAT с отворен код, известен като AndroSpy.