Malware FastViewer para Android associado a uma ameaça norte-coreana

Uma equipe que trabalha com a empresa de segurança móvel Talon Cyber Security identificou um novo trio de pacotes maliciosos direcionados a dispositivos Android. Todos os três pacotes de malware estão vinculados a um agente de ameaças que opera na Coreia do Norte e conhecido pelo nome de "grupo Kimsuky".

As três novas variantes de malware são chamadas FastFire, FastSpy e FastViewer. Todos os três foram encontrados visando dispositivos que podem executar o Android.

Enquanto o FastFire é distribuído como uma atualização de segurança do Google para o seu dispositivo, o FastViewer está se passando pelo aplicativo Hancom Office Viewer. O visualizador Hancom é um aplicativo legítimo que possui milhões de downloads na Google Play Store oficial. A versão maliciosa que é realmente FastViewer tem código malicioso injetado no pacote.

Na superfície, o malicioso FastViewer se comporta como um visualizador de arquivos normal, mas sua funcionalidade maliciosa entra em ação quando abre um arquivo especialmente manipulado, criado pelos autores do malware. O aplicativo malicioso faz uma verificação de bytes nos quatro bytes iniciais do arquivo que está sendo aberto e se atender às condições determinadas, o malware entra em contato com seus servidores de comando e controle.

Quando isso acontece, o FastViewer também baixa o malware FastSpy no dispositivo infectado.