FastSpy

Por Mezo en Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Traducir a:

El grupo Kimsuki APT (Advanced Persistent Threat) continúa ampliando su arsenal de herramientas amenazantes. La última incorporación identificada es un trío de amenazas móviles utilizadas en campañas de ataque dirigidas a los dispositivos Android de las víctimas. Los detalles sobre las amenazas dañinas previamente desconocidas ahora rastreadas como FastFire , FastViewer y FastSpy fueron publicados en un informe de investigadores de malware de una compañía de seguridad cibernética de Corea del Sur.

Se cree que el grupo de hackers Kimsuki está respaldado por Corea del Norte. Sus actividades se pueden rastrear desde 2012 y sus objetivos se han ubicado consistentemente en Corea del Sur, Japón y los EE. medios de comunicación o sectores de investigación.

Análisis FastSpy

La amenaza FastSpy se implementa en los dispositivos infectados mediante el implante FastViewer de la etapa anterior. La función principal de FastSpy es proporcionar a los atacantes control remoto sobre el dispositivo de la víctima. La amenaza es capaz de adquirir privilegios adicionales al abusar de los mismos privilegios de la API de accesibilidad de Android que FastViewer intenta obtener. Lo logra mostrando una ventana emergente solicitando el permiso necesario y luego se simula un clic en el botón 'Acepto'. No se requiere interacción por parte del usuario. El método exhibe varias características que son similares a lo que se ha observado previamente en la amenaza de malware Malibot , como una forma de eludir la MFA (autenticación multifactor) de Google.

Las capacidades intrusivas de FasSpy incluyen secuestrar el teléfono, recopilar información de SMS, rastrear la ubicación del dispositivo y monitorear la cámara, el micrófono, el altavoz, los GP y otras funciones en tiempo real. Los piratas informáticos de Kimsuki también pueden utilizar la amenaza para acceder a los archivos del dispositivo y filtrarlos al servidor de comando y control de la operación. Cabe señalar que los investigadores de S2W confirmaron múltiples similitudes en el nombre del método, el formato del mensaje, el código, las funciones, etc., entre FastSpy y un RAT (troyano de acceso remoto) de código abierto conocido como AndroSpy.