FastViewer Android-malware gekoppeld aan Noord-Koreaanse bedreigingsacteur

Een team dat samenwerkt met het mobiele beveiligingsbedrijf Talon Cyber Security identificeerde een nieuw trio van kwaadaardige pakketten die gericht waren op Android-apparaten. Alle drie de malwarepakketten zijn gekoppeld aan een dreigingsactor die opereert vanuit Noord-Korea en bekend staat onder de naam "Kimsuky-groep".

De drie nieuwe malwarevarianten heten FastFire, FastSpy en FastViewer. Alle drie werden gevonden gericht op apparaten die Android kunnen draaien.

Terwijl FastFire wordt gedistribueerd onder het mom van een Google-beveiligingsupdate voor uw apparaat, doet FastViewer zich voor als de Hancom Office Viewer-toepassing. De Hancom-viewer is een legitieme applicatie die miljoenen downloads heeft in de officiële Google Play Store. De kwaadaardige versie die echt FastViewer is, heeft kwaadaardige code in het pakket geïnjecteerd.

Op het eerste gezicht gedraagt de kwaadaardige FastViewer zich als een normale bestandsviewer, maar zijn kwaadaardige functionaliteit treedt in werking wanneer het een speciaal gemanipuleerd bestand opent, gemaakt door de auteurs van de malware. De kwaadaardige toepassing voert een bytecontrole uit op de eerste vier bytes van het bestand dat wordt geopend en als het aan de gestelde voorwaarden voldoet, neemt de malware contact op met zijn command and control-servers.

Zodra dit gebeurt, downloadt FastViewer ook de FastSpy-malware op het geïnfecteerde apparaat.