FastFire

Por Mezo en Mobile Malware, Advanced Persistent Threat (APT)

Traducir a:

El grupo APT (Advanced Persistent Threat) Kimsuki ha ampliado aún más su arsenal malicioso al agregar tres nuevas amenazas de malware, según los hallazgos de los expertos en ciberseguridad. Las herramientas de ataque fueron analizadas por los investigadores de una empresa de ciberseguridad de Corea del Sur y recibieron los nombres FastFire , FastViewer y FastSpy.

Se cree que el grupo de hackers Kimsuki (Thallium, Black Banshee, Velvet Chollima) ha estado activo desde al menos 2012 y parece estar respaldado por el gobierno de Corea del Norte. Sus operaciones de ataque se han centrado principalmente en objetivos individuales u organizaciones ubicadas en Corea del Sur, Japón y EE. UU. El objetivo aparente de las campañas amenazantes es recopilar información confidencial de las víctimas que trabajan en los campos de los medios, la política, la investigación y la diplomacia.

Detalles de FastFire

La amenaza FastFire es una amenaza móvil que muestra signos de estar aún en desarrollo activo. El APK amenazante se hace pasar por un complemento de seguridad de Google. Después de instalarse en el dispositivo Android, FastFire ocultará su ícono de inicio para evitar llamar la atención de la víctima. Luego, el malware transmitirá un token de dispositivo a los servidores de comando y control (C&C, C2) de la operación y esperará a que se envíe un comando. La comunicación entre el dispositivo infectado y los servidores de C&C se realiza a través de Firebase Base Messaging (FCM). Firebase es una plataforma de desarrollo móvil que ofrece numerosas funciones esenciales, incluido el alojamiento de contenido en tiempo real, bases de datos, notificaciones, autenticación social y muchas otras funciones.

La tarea principal de FastFire parece ser la ejecución de una función de llamada de enlace profundo. Sin embargo, al momento de la investigación, esta funcionalidad no estaba completamente implementada. Los investigadores también notan la presencia de varias clases que no se ejecutan en absoluto.