FastFire

Par Mezo en Mobile Malware, Advanced Persistent Threat (APT)

Se traduisent par :

Le groupe APT (Advanced Persistent Threat) Kimsuki a encore élargi son arsenal malveillant en ajoutant trois nouvelles menaces malveillantes, selon les conclusions d'experts en cybersécurité. Les outils d'attaque ont été analysés par les chercheurs d'une société de cybersécurité sud-coréenne et ont reçu les noms de FastFire , FastViewer et FastSpy.

Le groupe de hackers Kimsuki (Thallium, Black Banshee, Velvet Chollima) serait actif depuis au moins 2012 et semble être soutenu par le gouvernement nord-coréen. Ses opérations d'attaque se sont principalement concentrées sur des cibles individuelles ou des organisations situées en Corée du Sud, au Japon et aux États-Unis. Le but apparent des campagnes de menaces est de recueillir des informations sensibles auprès des victimes travaillant dans les domaines des médias, de la politique, de la recherche et de la diplomatie.

Détails de FastFire

La menace FastFire est une menace mobile qui montre des signes de développement actif. L'APK menaçant se fait passer pour un plug-in de sécurité Google. Après avoir été installé sur l'appareil Android, FastFire masquera son icône de lancement pour éviter d'attirer l'attention de la victime. Le logiciel malveillant transmettra ensuite un jeton d'appareil aux serveurs de commande et de contrôle (C&C, C2) de l'opération et attendra qu'une commande soit renvoyée. La communication entre l'appareil infecté et les serveurs C&C s'effectue via Firebase Base Messaging (FCM). Firebase est une plateforme de développement mobile qui offre de nombreuses fonctions essentielles, dont l'hébergement en temps réel de contenus, des bases de données, des notifications, l'authentification sociale, ainsi que de nombreuses autres fonctions.

La tâche principale de FastFire semble être l'exécution d'une fonction d'appel de lien profond. Cependant, au moment de la recherche, cette fonctionnalité n'était pas entièrement implémentée. Les chercheurs notent également la présence de plusieurs classes qui ne sont pas du tout exécutées.