FastSpy

Par Mezo en Mobile Malware, Advanced Persistent Threat (APT), Remote Administration Tools

Se traduisent par :

Le groupe Kimsuki APT (Advanced Persistent Threat) continue d'étendre son arsenal d'outils menaçants. Le dernier ajout identifié est un trio de menaces mobiles utilisées dans les campagnes d'attaque ciblant les appareils Android des victimes. Des détails sur les menaces nuisibles jusque-là inconnues, désormais suivies sous les noms de FastFire , FastViewer et FastSpy, ont été publiés dans un rapport de chercheurs sur les logiciels malveillants d'une société sud-coréenne de cybersécurité.

Le groupe de hackers Kimsuki serait soutenu par la Corée du Nord. Ses activités remontent à 2012 et ses cibles ont toujours été localisées en Corée du Sud, au Japon et aux États-Unis. Les pirates ont principalement mené des campagnes de cyberespionnage visant à collecter des informations sensibles auprès d'individus ou d'organisations impliquées dans la politique, la diplomatie, secteurs des médias ou de la recherche.

Analyse FastSpy

La menace FastSpy est déployée sur les appareils infectés par l'implant FastViewer de l'étape précédente. La fonction principale de FastSpy est de fournir aux attaquants un contrôle à distance sur l'appareil de la victime. La menace est capable d'acquérir des privilèges supplémentaires en abusant des mêmes privilèges d'API d'accessibilité Android que FastViewer tente d'obtenir. Il y parvient en affichant une fenêtre contextuelle demandant l'autorisation nécessaire, puis un clic est simulé sur le bouton "Accepter". Aucune interaction de l'utilisateur n'est requise. La méthode présente plusieurs caractéristiques qui sont similaires à ce qui a été observé précédemment dans la menace de malware Malibot , comme un moyen de contourner le MFA (authentification multi-facteurs) de Google.

Les capacités intrusives de FasSpy incluent le détournement du téléphone, la collecte d'informations SMS, le suivi de l'emplacement de l'appareil et la surveillance de la caméra, du microphone, du haut-parleur, des GPS et d'autres fonctions en temps réel. Les pirates de Kimsuki peuvent également utiliser la menace pour accéder aux fichiers sur l'appareil et les exfiltrer vers le serveur de commande et de contrôle de l'opération. Il convient de souligner que les chercheurs de S2W ont confirmé de multiples similitudes dans le nom de la méthode, le format des messages, le code, les fonctions, etc., entre FastSpy et un RAT (Remote Access Trojan) open source appelé AndroSpy.