FastSpy-Android-Malware
FastSpy ist ein neu entdecktes bösartiges Paket, das auf Android-Geräte abzielt. Die Malware gehört zu einem Trio bösartiger Pakete, die dem nordkoreanischen Bedrohungsakteur zugeschrieben werden, der unter dem Alias Kimsuku-Gruppe bekannt ist.
Das Trio der Android-Malware-Pakete besteht aus FastSpy, FastFire und FastViewer. FastViewer wird unter dem Deckmantel einer Anwendung zum Anzeigen von Dateien verbreitet, in die bösartiger Code eingeschleust wurde. FastFire hingegen tarnt sich als Google-Sicherheits-Plugin.
Die FastSpy-Malware wird vom Schadpaket FastViewer abgelegt. FastViewer ist als legitime Hancom Office Viewer-App getarnt, aber das Paket wurde so modifiziert, dass es bösartigen Code enthält.
Sobald FastViewer auf einem Android-Gerät installiert ist und verwendet wird, um eine bestimmte Datei zu öffnen, die von den Angreifern manipuliert wurde, wird das FastSpy-Paket heruntergeladen. FastSpy wird für die Fernsteuerungsfunktionalität verwendet. Die Malware missbraucht die Android Accessibility API – ein Verhalten, das für viele Arten von Android-Malware typisch ist.
Das bösartige Paket kann Nachrichten und Dateien vom kompromittierten Android-Gerät exfiltrieren.