FastViewer Android-malware forbundet med nordkoreansk trusselskuespiller
Et team, der arbejder med mobilsikkerhedsfirmaet Talon Cyber Security, identificerede en ny trio af ondsindede pakker rettet mod Android-enheder. Alle tre malware-pakker er knyttet til en trusselsaktør, der opererer fra Nordkorea og kendt af håndtaget "Kimsuky-gruppen".
De tre nye malware-varianter hedder FastFire, FastSpy og FastViewer. Alle tre blev fundet målrettet mod enheder, der kan køre Android.
Mens FastFire distribueres i skikkelse af en Google-sikkerhedsopdatering til din enhed, udgiver FastViewer sig som Hancom Office Viewer-applikationen. Hancom-fremviseren er en legitim applikation, der har millioner af downloads i den officielle Google Play Butik. Den ondsindede version, der virkelig er FastViewer, har ondsindet kode injiceret i pakken.
På overfladen opfører den ondsindede FastViewer sig som en normal filfremviser, men dens ondsindede funktionalitet starter, når den åbner en specielt behandlet fil, skabt af malwarens forfattere. Den ondsindede applikation foretager en bytekontrol af de første fire bytes af filen, der åbnes, og hvis den opfylder de fastsatte betingelser, kontakter malwaren dens kommando- og kontrolservere.
Når dette sker, downloader FastViewer også FastSpy-malwaren på den inficerede enhed.