FastSpy

Von Mezo in Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Übersetzen Sie in:

Die Gruppe Kimsuki APT (Advanced Persistent Threat) baut ihr Arsenal an Bedrohungstools weiter aus. Die neuste identifizierte Ergänzung ist ein Trio mobiler Bedrohungen, die in Angriffskampagnen eingesetzt werden, die auf die Android-Geräte der Opfer abzielen. Details über die bisher unbekannten schädlichen Bedrohungen, die jetzt als FastFire , FastViewer und FastSpy verfolgt werden, wurden in einem Bericht von Malware-Forschern eines südkoreanischen Cybersicherheitsunternehmens veröffentlicht.

Die Kimsuki-Hackergruppe wird vermutlich von Nordkorea unterstützt. Seine Aktivitäten können bis ins Jahr 2012 zurückverfolgt werden und seine Ziele waren stets in Südkorea, Japan und den USA lokalisiert. Die Hacker haben hauptsächlich Cyberspionage-Kampagnen durchgeführt, die darauf abzielen, sensible Informationen von Personen oder Organisationen zu sammeln, die in Politik, Medien- oder Forschungssektor.

FastSpy-Analyse

Die FastSpy-Bedrohung wird auf den infizierten Geräten durch das FastViewer-Implantat der Vorstufe bereitgestellt. Die Hauptfunktion von FastSpy besteht darin, den Angreifern die Fernsteuerung über das Gerät des Opfers zu ermöglichen. Die Bedrohung ist in der Lage, zusätzliche Privilegien zu erwerben, indem sie dieselben API-Privilegien für die Android-Zugänglichkeit missbraucht, die FastViewer zu erlangen versucht. Dies wird erreicht, indem ein Popup angezeigt wird, in dem die erforderliche Erlaubnis angefordert wird, und dann ein Klick auf die Schaltfläche „Zustimmen“ simuliert wird. Es ist keine Interaktion des Benutzers erforderlich. Die Methode weist mehrere Merkmale auf, die denen ähneln, die zuvor bei der Malware-Bedrohung Malibot beobachtet wurden, um die MFA (Multi-Faktor-Authentifizierung) von Google zu umgehen.

Zu den aufdringlichen Fähigkeiten von FasSpy gehören das Hijacking des Telefons, das Sammeln von SMS-Informationen, das Verfolgen des Gerätestandorts und das Überwachen von Kamera, Mikrofon, Lautsprecher, GPs und anderen Funktionen in Echtzeit. Die Kimsuki-Hacker können die Bedrohung auch nutzen, um auf Dateien auf dem Gerät zuzugreifen und sie auf den Command-and-Control-Server der Operation zu exfiltrieren. Es sollte darauf hingewiesen werden, dass die Forscher von S2W mehrere Ähnlichkeiten in Methodenname, Nachrichtenformat, Code, Funktionen usw. zwischen FastSpy und einem Open-Source-RAT (Remote-Access-Trojaner) namens AndroSpy bestätigten.