FastSpy Android Malware

FastSpy er en nyoppdaget ondsinnet pakke rettet mot Android-enheter. Skadevaren tilhører en trio av ondsinnede pakker tilskrevet den nordkoreanske trusselaktøren kjent av alias Kimsuku-gruppen.

Trioen med Android-skadevarepakker består av FastSpy, FastFire og FastViewer. FastViewer distribueres under dekke av et filvisningsprogram som har fått ondsinnet kode injisert i seg. FastFire, på den annen side, er maskert som en Google-sikkerhetsplugin.

FastSpy-malwaren blir droppet av den skadelige FastViewer-pakken. FastViewer er forkledd som den legitime Hancom Office Viewer-appen, men pakken har blitt endret til å inkludere skadelig kode.

Når FastViewer er installert på en Android-enhet og brukes til å åpne en spesifikk fil som er behandlet av trusselaktørene, lastes FastSpy-pakken ned. FastSpy brukes for fjernkontrollfunksjonalitet. Skadevaren misbruker Android Accessibility API – oppførsel som er typisk for mange stammer av Android-skadevare.

Den ondsinnede pakken kan eksfiltrere meldinger og filer fra den kompromitterte Android-enheten.