FastSpy Android-malware
FastSpy is een nieuw ontdekt kwaadaardig pakket gericht op Android-apparaten. De malware behoort tot een drietal kwaadaardige pakketten die worden toegeschreven aan de Noord-Koreaanse dreigingsactor die bekend staat onder de alias Kimsuku-groep.
Het drietal Android-malwarepakketten bestaat uit FastSpy, FastFire en FastViewer. FastViewer wordt verspreid onder het mom van een toepassing voor het bekijken van bestanden waarin kwaadaardige code is geïnjecteerd. FastFire daarentegen doet zich voor als een beveiligingsplug-in van Google.
De FastSpy-malware wordt verwijderd door het kwaadaardige FastViewer-pakket. FastViewer is vermomd als de legitieme Hancom Office Viewer-app, maar het pakket is aangepast om kwaadaardige code te bevatten.
Zodra FastViewer op een Android-apparaat is geïnstalleerd en wordt gebruikt om een specifiek bestand te openen dat door de dreigingsactoren is bewerkt, wordt het FastSpy-pakket gedownload. FastSpy wordt gebruikt voor afstandsbedieningsfunctionaliteit. De malware maakt misbruik van de Android-toegankelijkheids-API - gedrag dat typisch is voor veel soorten Android-malware.
Het kwaadaardige pakket kan berichten en bestanden van het gecompromitteerde Android-apparaat exfiltreren.