Malware de Android FastViewer vinculado con actor de amenazas de Corea del Norte

Un equipo que trabaja con la empresa de seguridad móvil Talon Cyber Security identificó un nuevo trío de paquetes maliciosos dirigidos a dispositivos Android. Los tres paquetes de malware están vinculados a un actor de amenazas que opera desde Corea del Norte y se conoce con el nombre de "grupo Kimsuky".

Las tres nuevas variantes de malware se denominan FastFire, FastSpy y FastViewer. Los tres se encontraron apuntando a dispositivos que pueden ejecutar Android.

Mientras que FastFire se distribuye bajo la apariencia de una actualización de seguridad de Google para su dispositivo, FastViewer se hace pasar por la aplicación Hancom Office Viewer. El visor de Hancom es una aplicación legítima que tiene millones de descargas en la tienda oficial de Google Play. La versión maliciosa que en realidad es FastViewer tiene un código malicioso inyectado en el paquete.

En la superficie, el FastViewer malicioso se comporta como un visor de archivos normal, pero su funcionalidad maliciosa se activa cuando abre un archivo especialmente manipulado, creado por los autores del malware. La aplicación maliciosa realiza una verificación de bytes en los cuatro bytes iniciales del archivo que se abre y si cumple con las condiciones determinadas, el malware se comunica con sus servidores de comando y control.

Una vez que esto sucede, FastViewer también descarga el malware FastSpy en el dispositivo infectado.