FastViewer Android マルウェアが北朝鮮の脅威アクターとリンク

モバイル セキュリティ企業の Talon Cyber Security と協力しているチームは、Android デバイスを標的とする新しい 3 つの悪意のあるパッケージを特定しました。 3 つのマルウェア パッケージはすべて、北朝鮮で活動し、「Kimsuky グループ」というハンドル名で知られる攻撃者に関連付けられています。

3 つの新しいマルウェアの亜種は、FastFire、FastSpy、FastViewer と名付けられています。 3 つすべてが、Android を実行できるデバイスをターゲットにしていることがわかりました。

FastFire はデバイスの Google セキュリティ アップデートを装って配布されますが、FastViewer は Hancom Office Viewer アプリケーションを装っています。 Hancom ビューアーは、公式の Google Play ストアで何百万回もダウンロードされている正規のアプリケーションです。実際には FastViewer である悪意のあるバージョンには、悪意のあるコードがパッケージに挿入されています。

表面的には、悪意のある FastViewer は通常のファイル ビューアーのように動作しますが、マルウェアの作成者によって作成された特別に改ざんされたファイルを開くと、その悪意のある機能が作動します。悪意のあるアプリケーションは、開かれているファイルの最初の 4 バイトに対してバイト チェックを行い、そのファイルが特定の条件を満たしている場合、マルウェアはそのコマンド アンド コントロール サーバーに接続します。

これが発生すると、FastViewer は感染したデバイスに FastSpy マルウェアもダウンロードします。