與朝鮮有關(guān)的黑客Kimsuky 正通過(guò)3個(gè)最新Android惡意軟件針對(duì)韓國(guó)
2022年10月31日
據(jù)觀察���,被稱為 Kimsuky 的朝鮮間諜活動(dòng)參與者使用三種不同的 Android 惡意軟件來(lái)針對(duì)韓國(guó)某些用戶。這是根據(jù)韓國(guó)網(wǎng)絡(luò)安全公司 S2W 的調(diào)查結(jié)果�����,該公司將惡意軟件家族命名為 FastFire����、FastViewer 和 FastSpy。
研究人員 Lee Sebin 和 Shin Yeongjae指出��,F(xiàn)astFire 惡意軟件偽裝成谷歌安全插件�,F(xiàn)astViewer惡意軟件偽裝成‘Hancom Office Viewer’,而FastSpy是基于AndroSpy的遠(yuǎn)程訪問(wèn)工具。Kimsuky���,也被稱為 Black Banshee����、Thallium 和 Velvet Chollima���。據(jù)悉被朝鮮以一項(xiàng)全球情報(bào)收集任務(wù)�����,不成比例地針對(duì)韓國(guó)����、日本和美國(guó)的個(gè)人和組織�。
去年8月,卡巴斯基發(fā)現(xiàn)了一個(gè)名為GoldDragon的未曾記錄的感染鏈�,以部署一個(gè) Windows 后門(mén),該后門(mén)能夠從受害者那里竊取信息�����,例如文件列表����、用戶擊鍵和存儲(chǔ)的 Web 瀏覽器登錄憑據(jù)����。
Android 版本的AppleSeed植入程序也知道這種高級(jí)持續(xù)性威脅可以執(zhí)行任意操作并從受感染的設(shè)備中泄露信息�����。
FastFire���、FastViewer 和 FastSpy 是其不斷發(fā)展的 Android 惡意軟件庫(kù)的最新成員,旨在接收來(lái)自 Firebase 的命令并下載其他有效負(fù)載�。
“FastViewer 是一個(gè)重新打包的 APK,通過(guò)將攻擊者插入的任意惡意代碼添加到普通的 Hancom Office Viewer 應(yīng)用程序中�����,”研究人員說(shuō)�����,并補(bǔ)充說(shuō)惡意軟件還會(huì)下載 FastSpy 作為下一階段���。
有問(wèn)題的流氓應(yīng)用程序如下 :
com.viewer.fastsecure(Google ?? 插件)
com.tf.thinkdroid.secviewer (FastViewer)
FastViewer 和 FastSpy 都濫用 Android 的可訪問(wèn)性 API 權(quán)限來(lái)實(shí)現(xiàn)其間諜行為���,后者自動(dòng)用戶點(diǎn)擊以類似于MaliBot的方式授予自己廣泛的權(quán)限����。
FastSpy 啟動(dòng)后�,使攻擊者能夠控制目標(biāo)設(shè)備、攔截電話和短信���、跟蹤用戶的位置���、獲取文檔、捕獲擊鍵并記錄來(lái)自手機(jī)攝像頭�����、麥克風(fēng)和揚(yáng)聲器的信息����。
2022 年 5 月曾被用于一次活動(dòng)中,該活動(dòng)被確定為由該組織精心策劃�����,以分發(fā)偽裝成朝鮮相關(guān)新聞的惡意軟件發(fā)布���。
研究人員表示:“Kimsuky 集團(tuán)不斷進(jìn)行攻擊�,以竊取目標(biāo)針對(duì)移動(dòng)設(shè)備的信息。此外����,正在通過(guò)定制開(kāi)源 RAT 的 Androspy 進(jìn)行各種嘗試來(lái)繞過(guò)檢測(cè)?����!?/span>
由于 Kimsuky 集團(tuán)的移動(dòng)攻擊策略越來(lái)越先進(jìn)�,因此有必要小心針對(duì) Android 設(shè)備的復(fù)雜攻擊�����。
來(lái)源:E安全
