FastViewer

Por Mezo en Mobile Malware, Remote Administration Tools

Traducir a:

Kimsuki APT (Advanced Persistent Threat) continúa expandiendo su arsenal de herramientas amenazantes. Se cree que el grupo tiene vínculos con Corea del Norte y, al menos desde 2012, ha estado atacando a personas y organizaciones de Corea del Sur, Japón y EE. la diplomacia y los sectores políticos.

Los detalles sobre las nuevas amenazas de malware del grupo Kimsuki (Thallium, Black Banshee, Velvet Chollima) se dieron a conocer al público en un informe de investigadores de ciberseguridad de una empresa de ciberseguridad de Corea del Sur. Los investigadores pudieron identificar tres amenazas móviles rastreadas como FastFire, FastViewer y FastSpy.

Detalles técnicos de FastViewer

La amenaza FastViewer se propaga a través de una aplicación 'Hancom Office Viewer' modificada. La herramienta de software legítima es un visor de documentos móvil que permite a los usuarios abrir documentos de Word, PDF, .hwp (Hangul) y otros. La aplicación real tiene más de 10 millones de descargas en Google Play Store. Los piratas informáticos de Kimsuki tomaron la aplicación Hancom Office Viewer normal y la volvieron a empaquetar para incluir ahora código corrupto arbitrario. Como resultado, la versión armada tiene un nombre de paquete, un nombre de aplicación y un ícono que son extremadamente similares a la aplicación real. FastViewer está equipado con un certificado en el formato de certificado jks basado en Java.

Durante la instalación, la amenaza explotará los permisos de accesibilidad de Android, ya que son necesarios para facilitar muchas de sus acciones amenazantes. Si se conceden las solicitudes del malware, FastViewer podrá recibir comandos de sus operadores, establecer mecanismos de persistencia en el dispositivo infectado e iniciar rutinas de espionaje.

El comportamiento amenazante del malware se activa cuando la aplicación modificada se utiliza para escanear un documento especialmente diseñado por los ciberdelincuentes de Kimsuki. El archivo se convertiría en un documento normal y se mostraría al usuario, mientras que el comportamiento hiriente tiene lugar en el fondo del dispositivo. La amenaza recopilará gran cantidad de información del dispositivo y la exfiltrará a su servidor de comando y control. Además, una de las principales funcionalidades de FastViewer es buscar e implementar la tercera amenaza Kimsuky identificada: FastSpy. Esta herramienta dañina exhibe múltiples características que son bastante similares a un malware RAT de código abierto, conocido como AndroSpy.