FastViewer-Android-Malware in Verbindung mit nordkoreanischem Bedrohungsakteur

Ein Team, das mit dem mobilen Sicherheitsunternehmen Talon Cyber Security zusammenarbeitet, hat ein neues Trio bösartiger Pakete identifiziert, die auf Android-Geräte abzielen. Alle drei Malware-Pakete sind mit einem Bedrohungsakteur verbunden, der von Nordkorea aus operiert und unter dem Namen „Kimsuky-Gruppe“ bekannt ist.

Die drei neuen Malware-Varianten heißen FastFire, FastSpy und FastViewer. Bei allen dreien wurde festgestellt, dass sie auf Geräte abzielen, auf denen Android ausgeführt werden kann.

Während FastFire unter dem Deckmantel eines Google-Sicherheitsupdates für Ihr Gerät vertrieben wird, gibt sich FastViewer als Hancom Office Viewer-Anwendung aus. Der Hancom-Viewer ist eine legitime Anwendung, die im offiziellen Google Play Store Millionen von Downloads hat. Die bösartige Version, die wirklich FastViewer ist, hat bösartigen Code in das Paket eingeschleust.

An der Oberfläche verhält sich der bösartige FastViewer wie ein normaler Dateibetrachter, aber seine bösartige Funktionalität tritt ein, wenn er eine speziell manipulierte Datei öffnet, die von den Autoren der Malware erstellt wurde. Die bösartige Anwendung führt eine Byteprüfung der ersten vier Bytes der geöffneten Datei durch, und wenn sie die festgelegten Bedingungen erfüllt, kontaktiert die Malware ihre Command-and-Control-Server.

Sobald dies geschieht, lädt FastViewer auch die FastSpy-Malware auf das infizierte Gerät herunter.