FastViewer

Von Mezo in Mobile Malware, Remote Administration Tools

Übersetzen Sie in:

Kimsuki APT (Advanced Persistent Threat) baut sein Arsenal an Bedrohungstools weiter aus. Es wird angenommen, dass die Gruppe Verbindungen zu Nordkorea hat und seit mindestens 2012 Personen und Organisationen aus Südkorea, Japan und den USA ins Visier nimmt. Die Hacker sind auf Cyberspionage-Angriffskampagnen spezialisiert und versuchen, Einheiten zu infiltrieren, die in den Bereichen Medien, Forschung, Diplomatie und Politik tätig sind.

Einzelheiten zu den neuen Malware-Bedrohungen der Kimsuki-Gruppe (Thallium, Black Banshee, Velvet Chollima) wurden in einem Bericht von Cybersicherheitsforschern eines südkoreanischen Cybersicherheitsunternehmens veröffentlicht. Die Forscher konnten drei mobile Bedrohungen identifizieren, die als FastFire, FastViewer und FastSpy verfolgt wurden.

Technische Details zu FastViewer

Die FastViewer-Bedrohung wird über eine modifizierte „Hancom Office Viewer“-Anwendung verbreitet. Das legitime Softwaretool ist ein mobiler Dokumentenbetrachter, mit dem Benutzer Word-, PDF-, .hwp- (Hangul) und andere Dokumente öffnen können. Die echte Anwendung hat über 10 Millionen Downloads im Google Play Store. Die Kimsuki-Hacker haben die normale Hancom Office Viewer-Anwendung genommen und neu verpackt, um nun willkürlichen beschädigten Code zu enthalten. Infolgedessen hat die bewaffnete Version einen Paketnamen, einen Anwendungsnamen und ein Symbol, die der echten Anwendung sehr ähnlich sind. FastViewer ist mit einem Zertifikat im Java-basierten Zertifikatsformat jks ausgestattet.

Während der Installation nutzt die Bedrohung die Zugriffsberechtigungen von Android aus, da sie benötigt werden, um viele seiner bedrohlichen Aktionen zu ermöglichen. Wenn den Anfragen der Malware stattgegeben wird, kann FastViewer Befehle von seinen Betreibern empfangen, Persistenzmechanismen auf dem infizierten Gerät einrichten und Spionageroutinen initiieren.

Das bedrohliche Verhalten der Malware wird aktiviert, wenn die modifizierte Anwendung verwendet wird, um ein Dokument zu scannen, das speziell von Kimsuki-Cyberkriminellen erstellt wurde. Die Datei würde in ein normales Dokument umgewandelt und dem Benutzer angezeigt, während das verletzende Verhalten im Hintergrund des Geräts stattfindet. Die Bedrohung sammelt zahlreiche Informationen vom Gerät und exfiltriert sie auf ihren Command-and-Control-Server. Darüber hinaus ist eine der Hauptfunktionen von FastViewer das Abrufen und Bereitstellen der dritten identifizierten Kimsuky-Bedrohung – FastSpy. Dieses schädliche Tool weist mehrere Eigenschaften auf, die einer Open-Source-RAT-Malware, bekannt als AndroSpy, ziemlich ähnlich sind.