FastViewer Android Malware lié à un acteur de la menace nord-coréen

Une équipe travaillant avec la société de sécurité mobile Talon Cyber Security a identifié un nouveau trio de packages malveillants ciblant les appareils Android. Les trois packages de logiciels malveillants sont liés à un acteur menaçant opérant depuis la Corée du Nord et connu sous le nom de "groupe Kimsuky".

Les trois nouvelles variantes de logiciels malveillants sont nommées FastFire, FastSpy et FastViewer. Tous les trois ont été trouvés ciblant des appareils pouvant exécuter Android.

Alors que FastFire est distribué sous le couvert d'une mise à jour de sécurité Google pour votre appareil, FastViewer se fait passer pour l'application Hancom Office Viewer. La visionneuse Hancom est une application légitime qui compte des millions de téléchargements sur le Google Play Store officiel. La version malveillante qui est vraiment FastViewer a un code malveillant injecté dans le package.

En surface, le FastViewer malveillant se comporte comme un visualiseur de fichiers normal, mais sa fonctionnalité malveillante se déclenche lorsqu'il ouvre un fichier spécialement trafiqué, créé par les auteurs du malware. L'application malveillante effectue une vérification des octets sur les quatre octets initiaux du fichier en cours d'ouverture et si elle remplit les conditions déterminées, le logiciel malveillant contacte ses serveurs de commande et de contrôle.

Une fois que cela se produit, FastViewer télécharge également le malware FastSpy sur l'appareil infecté.