FastFire Mobile Malware mit Verbindung zur Kimsuky Group

Mobile Sicherheitsforscher von Talon Cyber Security haben eine Reihe verschiedener neuer Malware-Stämme identifiziert, die alle auf mobile Geräte mit Android abzielen. Das Trifecta neuer Bedrohungen hat die Namen FastFire, FastViewer und FastSpy erhalten, die ihre Fähigkeiten widerspiegeln.

Die neuen Malware-Varianten zeigen Verbindungen zum nordkoreanischen Bedrohungsakteur, der als Kimsuky-Gruppe bekannt ist. Kimsuky gibt es seit rund einem Jahrzehnt, zielt sowohl auf Windows-Systeme als auch auf mobile Geräte ab und verwendet gezielte Phishing-Angriffsvektoren.

Das FastFire-Paket, das von Talon als bösartig eingestuft wurde, wurde Ende Oktober 2022 von keinem der Scanner auf VirusTotal als Malware gekennzeichnet, was es zu einer Bedrohung macht, die immer noch unter dem Radar fliegen kann.

Die Malware wird als Paket namens „com.viewer.fastsecure“ verbreitet und gibt sich als Google-Sicherheits-Plug-in aus. Nach der Installation auf dem Gerät blendet FastFire sein Symbol aus, um seine Anwesenheit zu verbergen.

Die Malware kann mit ihren Command-and-Control-Servern kommunizieren und das infizierte Gerät kann Befehle empfangen. Das bösartige Paket enthält fünf verschiedene bösartige Klassen, aber laut Talon werden nur drei davon von der Malware ausgeführt und verwendet.