FastViewer

Par Mezo en Mobile Malware, Remote Administration Tools

Se traduisent par :

Le Kimsuki APT (Advanced Persistent Threat) continue d'étendre son arsenal d'outils menaçants. Le groupe aurait des liens avec la Corée du Nord et, depuis au moins 2012, cible des individus et des organisations de Corée du Sud, du Japon et des États-Unis. Les pirates se spécialisent dans les campagnes d'attaques de cyberespionnage, essayant d'infiltrer des entités travaillant dans les médias, la recherche, diplomatie et secteurs politiques.

Des détails sur les nouvelles menaces de logiciels malveillants du groupe Kimsuki (Thallium, Black Banshee, Velvet Chollima) ont été rendus publics dans un rapport par des chercheurs en cybersécurité d'une société de cybersécurité sud-coréenne. Les chercheurs ont pu identifier trois menaces mobiles suivies comme FastFire, FastViewer et FastSpy.

Détails techniques de FastViewer

La menace FastViewer se propage via une application 'Hancom Office Viewer' modifiée. L'outil logiciel légitime est une visionneuse de documents mobile qui permet aux utilisateurs d'ouvrir Word, PDF, .hwp (Hangul) et d'autres documents. La vraie application compte plus de 10 millions de téléchargements sur le Google Play Store. Les pirates de Kimsuki ont pris l'application Hancom Office Viewer normale et l'ont reconditionnée pour inclure désormais du code corrompu arbitraire. En conséquence, la version militarisée a un nom de package, un nom d'application et une icône extrêmement similaires à l'application réelle. FastViewer est équipé d'un certificat au format de certificat basé sur Java jks .

Lors de l'installation, la menace exploitera les autorisations d'accessibilité d'Android, car elles sont nécessaires pour faciliter bon nombre de ses actions menaçantes. Si les demandes du malware sont acceptées, FastViewer pourra recevoir des commandes de ses opérateurs, établir des mécanismes de persistance sur l'appareil infecté et lancer des routines d'espionnage.

Le comportement menaçant du malware est activé lorsque l'application modifiée est utilisée pour scanner un document spécialement conçu par les cybercriminels Kimsuki. Le fichier serait converti en un document normal et montré à l'utilisateur, tandis que le comportement blessant se produirait en arrière-plan de l'appareil. La menace collectera de nombreuses informations à partir de l'appareil et les exfiltrera vers son serveur de commande et de contrôle. De plus, l'une des principales fonctionnalités de FastViewer est de récupérer et de déployer la troisième menace Kimsuky identifiée - FastSpy. Cet outil dommageable présente de multiples caractéristiques qui sont assez similaires à un malware RAT open source, connu sous le nom d'AndroSpy.