2022年10月31日
據(jù)觀察,被稱為 Kimsuky 的朝鮮間諜活動(dòng)參與者使用三種不同的 Android 惡意軟件來針對(duì)韓國某些用戶。這是根據(jù)韓國網(wǎng)絡(luò)安全公司 S2W 的調(diào)查結(jié)果,該公司將惡意軟件家族命名為 FastFire、FastViewer 和 FastSpy。
研究人員 Lee Sebin 和 Shin Yeongjae指出,F(xiàn)astFire 惡意軟件偽裝成谷歌安全插件,F(xiàn)astViewer惡意軟件偽裝成‘Hancom Office Viewer’,而FastSpy是基于AndroSpy的遠(yuǎn)程訪問工具。Kimsuky,也被稱為 Black Banshee、Thallium 和 Velvet Chollima。據(jù)悉被朝鮮以一項(xiàng)全球情報(bào)收集任務(wù),不成比例地針對(duì)韓國、日本和美國的個(gè)人和組織。
去年8月,卡巴斯基發(fā)現(xiàn)了一個(gè)名為GoldDragon的未曾記錄的感染鏈,以部署一個(gè) Windows 后門,該后門能夠從受害者那里竊取信息,例如文件列表、用戶擊鍵和存儲(chǔ)的 Web 瀏覽器登錄憑據(jù)。
Android 版本的AppleSeed植入程序也知道這種高級(jí)持續(xù)性威脅可以執(zhí)行任意操作并從受感染的設(shè)備中泄露信息。
FastFire、FastViewer 和 FastSpy 是其不斷發(fā)展的 Android 惡意軟件庫的最新成員,旨在接收來自 Firebase 的命令并下載其他有效負(fù)載。
“FastViewer 是一個(gè)重新打包的 APK,通過將攻擊者插入的任意惡意代碼添加到普通的 Hancom Office Viewer 應(yīng)用程序中,”研究人員說,并補(bǔ)充說惡意軟件還會(huì)下載 FastSpy 作為下一階段。
有問題的流氓應(yīng)用程序如下 :
com.viewer.fastsecure(Google ?? 插件)
com.tf.thinkdroid.secviewer (FastViewer)
FastViewer 和 FastSpy 都濫用 Android 的可訪問性 API 權(quán)限來實(shí)現(xiàn)其間諜行為,后者自動(dòng)用戶點(diǎn)擊以類似于MaliBot的方式授予自己廣泛的權(quán)限。
FastSpy 啟動(dòng)后,使攻擊者能夠控制目標(biāo)設(shè)備、攔截電話和短信、跟蹤用戶的位置、獲取文檔、捕獲擊鍵并記錄來自手機(jī)攝像頭、麥克風(fēng)和揚(yáng)聲器的信息。
2022 年 5 月曾被用于一次活動(dòng)中,該活動(dòng)被確定為由該組織精心策劃,以分發(fā)偽裝成朝鮮相關(guān)新聞的惡意軟件發(fā)布。
研究人員表示:“Kimsuky 集團(tuán)不斷進(jìn)行攻擊,以竊取目標(biāo)針對(duì)移動(dòng)設(shè)備的信息。此外,正在通過定制開源 RAT 的 Androspy 進(jìn)行各種嘗試來繞過檢測。”
由于 Kimsuky 集團(tuán)的移動(dòng)攻擊策略越來越先進(jìn),因此有必要小心針對(duì) Android 設(shè)備的復(fù)雜攻擊。
來源:E安全