FastFire Mobile Malware gekoppeld aan Kimsuky Group
Mobiele beveiligingsonderzoekers van Talon Cyber Security hebben een aantal verschillende nieuwe malwaresoorten geïdentificeerd die zich allemaal richten op mobiele apparaten met Android. De trifecta van nieuwe bedreigingen hebben de namen FastFire, FastViewer en FastSpy gekregen, wat hun mogelijkheden weerspiegelt.
De nieuwe malwarevarianten tonen banden met de Noord-Koreaanse dreigingsactor die bekend staat als de Kimsuky-groep. Kimsuky bestaat al ongeveer tien jaar en richt zich zowel op Windows-systemen als op mobiele apparaten en maakt gebruik van gerichte phishing-aanvalsvectoren.
Het FastFire-pakket, dat door Talon als kwaadaardig werd aangemerkt, werd eind oktober 2022 nog steeds niet als malware gemarkeerd door geen van de scanners op VirusTotal, waardoor het een bedreiging vormt die nog steeds onder de radar kan vliegen.
De malware wordt verspreid als een pakket met de naam "com.viewer.fastsecure" en doet zich voor als een Google-beveiligingsplug-in. Eenmaal geïnstalleerd op het apparaat, zal FastFire het pictogram verbergen om zijn aanwezigheid te maskeren.
De malware kan communiceren met zijn commando- en controleservers en het geïnfecteerde apparaat kan commando's ontvangen. Het kwaadaardige pakket bevat vijf verschillende kwaadaardige klassen, maar volgens Talon worden er slechts drie uitgevoerd en gebruikt door de malware.