FastViewer Malware Android collegato a Threat Actor nordcoreano

Un team che lavora con la società di sicurezza mobile Talon Cyber Security ha identificato un nuovo trio di pacchetti dannosi destinati ai dispositivi Android. Tutti e tre i pacchetti di malware sono collegati a un attore di minacce che opera fuori dalla Corea del Nord e conosciuto con il nome di "gruppo Kimsuky".

Le tre nuove varianti di malware sono denominate FastFire, FastSpy e FastViewer. Tutti e tre sono stati trovati mirati a dispositivi che possono eseguire Android.

Mentre FastFire è distribuito sotto le spoglie di un aggiornamento di sicurezza di Google per il tuo dispositivo, FastViewer si atteggia a Hancom Office Viewer. Il visualizzatore Hancom è un'applicazione legittima che ha milioni di download sul Google Play Store ufficiale. La versione dannosa che è in realtà FastViewer ha un codice dannoso iniettato nel pacchetto.

In superficie, il FastViewer dannoso si comporta come un normale visualizzatore di file, ma la sua funzionalità dannosa si attiva quando apre un file appositamente modificato, creato dagli autori del malware. L'applicazione dannosa esegue un controllo dei byte sui quattro byte iniziali del file che viene aperto e, se soddisfa le condizioni determinate, il malware contatta i suoi server di comando e controllo.

Una volta che ciò accade, FastViewer scarica anche il malware FastSpy sul dispositivo infetto.