Κακόβουλο λογισμικό Android FastViewer συνδεδεμένο με Βορειοκορεατικό Threat Actor

Μια ομάδα που συνεργάζεται με την εταιρεία ασφάλειας κινητής τηλεφωνίας Talon Cyber Security εντόπισε μια νέα τριάδα κακόβουλων πακέτων που στοχεύουν συσκευές Android. Και τα τρία πακέτα κακόβουλου λογισμικού συνδέονται με έναν παράγοντα απειλής που δραστηριοποιείται εκτός της Βόρειας Κορέας και είναι γνωστός ως "ομάδα Kimsuky".

Οι τρεις νέες παραλλαγές κακόβουλου λογισμικού ονομάζονται FastFire, FastSpy και FastViewer. Και οι τρεις βρέθηκαν να στοχεύουν συσκευές που μπορούν να τρέχουν Android.

Ενώ το FastFire διανέμεται με το πρόσχημα μιας ενημέρωσης ασφαλείας Google για τη συσκευή σας, το FastViewer υποδύεται την εφαρμογή Hancom Office Viewer. Το πρόγραμμα προβολής Hancom είναι μια νόμιμη εφαρμογή που έχει εκατομμύρια λήψεις στο επίσημο Google Play Store. Η κακόβουλη έκδοση που είναι πραγματικά FastViewer έχει κακόβουλο κώδικα που έχει εισαχθεί στο πακέτο.

Επιφανειακά, το κακόβουλο FastViewer συμπεριφέρεται σαν ένα κανονικό πρόγραμμα προβολής αρχείων, αλλά η κακόβουλη λειτουργικότητά του εμφανίζεται όταν ανοίγει ένα ειδικά επεξεργασμένο αρχείο, που δημιουργήθηκε από τους δημιουργούς του κακόβουλου λογισμικού. Η κακόβουλη εφαρμογή κάνει έναν έλεγχο byte στα αρχικά τέσσερα byte του αρχείου που ανοίγει και εάν πληροί τις καθορισμένες συνθήκες, το κακόβουλο λογισμικό επικοινωνεί με τους διακομιστές εντολών και ελέγχου.

Μόλις συμβεί αυτό, το FastViewer κατεβάζει επίσης το κακόβουλο λογισμικό FastSpy στη μολυσμένη συσκευή.