Kimsuky Group にリンクされた FastFire モバイル マルウェア

Talon Cyber Security のモバイル セキュリティ研究者は、すべてが Android を実行しているモバイル デバイスを標的とするさまざまな新しいマルウェア株を多数特定しました。 3 つの新しい脅威には、その機能を反映して、FastFire、FastViewer、FastSpy という名前が付けられています。

新しいマルウェアの亜種は、Kimsuky グループとして知られる北朝鮮の攻撃者とのつながりを示しています。 Kimsuky は約 10 年前から存在しており、Windows システムとモバイル デバイスの両方を標的とし、標的型フィッシング攻撃ベクトルを使用しています。

Talon によって悪意のあるものとして特定された FastFire パッケージは、2022 年 10 月下旬の時点で VirusTotal のどのスキャナーによってもマルウェアとしてフラグ付けされていなかったため、依然としてレーダーの下を飛行できる脅威となっています。

このマルウェアは、「com.viewer.fastsecure」という名前のパッケージとして配布され、Google セキュリティ プラグインを装います。デバイスにインストールすると、FastFire はアイコンを非表示にしてその存在を隠します。

マルウェアはそのコマンド アンド コントロール サーバーと通信でき、感染したデバイスはコマンドを受信できます。悪意のあるパッケージには 5 つの異なる悪意のあるクラスが含まれていますが、Talon によると、そのうちの 3 つだけが実行され、マルウェアによって使用されています。