FastViewer Android-malware knyttet til nordkoreansk trusselaktør

Et team som samarbeider med mobilsikkerhetsfirmaet Talon Cyber Security identifiserte en ny trio med ondsinnede pakker rettet mot Android-enheter. Alle de tre skadevarepakkene er knyttet til en trusselaktør som opererer fra Nord-Korea og kjent under håndtaket "Kimsuky-gruppen".

De tre nye malware-variantene heter FastFire, FastSpy og FastViewer. Alle tre ble funnet rettet mot enheter som kan kjøre Android.

Mens FastFire distribueres i dekke av en Google-sikkerhetsoppdatering for enheten din, utgir FastViewer seg som Hancom Office Viewer-applikasjonen. Hancom-visningen er en legitim applikasjon som har millioner av nedlastinger i den offisielle Google Play-butikken. Den ondsinnede versjonen som egentlig er FastViewer har ondsinnet kode injisert i pakken.

På overflaten oppfører den ondsinnede FastViewer seg som en vanlig filviser, men dens ondsinnede funksjonalitet starter når den åpner en spesielt behandlet fil, laget av skadevareforfatterne. Den ondsinnede applikasjonen utfører en bytesjekk på de første fire bytene av filen som åpnes, og hvis den oppfyller de fastsatte betingelsene, kontakter skadevaren dens kommando- og kontrollservere.

Når dette skjer, laster FastViewer også ned FastSpy malware på den infiserte enheten.