Вредоносное ПО FastViewer для Android связано с северокорейским злоумышленником

Команда, работающая с фирмой по обеспечению безопасности мобильных устройств Talon Cyber Security, обнаружила три новых вредоносных пакета, нацеленных на устройства Android. Все три вредоносных пакета связаны с злоумышленником, действующим из Северной Кореи и известным под ником «Kimsuky group».

Три новых варианта вредоносных программ называются FastFire, FastSpy и FastViewer. Все три были обнаружены на устройствах, которые могут работать под управлением Android.

В то время как FastFire распространяется под видом обновления безопасности Google для вашего устройства, FastViewer выдает себя за приложение Hancom Office Viewer. Программа просмотра Hancom — это законное приложение, которое в официальном магазине Google Play Store скачали миллионы раз. Вредоносная версия, которая на самом деле является FastViewer, содержит вредоносный код, внедренный в пакет.

На первый взгляд вредоносный FastViewer ведет себя как обычный просмотрщик файлов, но его вредоносная функциональность срабатывает, когда он открывает специально подделанный файл, созданный авторами вредоносного ПО. Вредоносное приложение проверяет начальные четыре байта открываемого файла и, если оно соответствует установленным условиям, связывается со своими серверами управления и контроля.

Как только это происходит, FastViewer также загружает вредоносное ПО FastSpy на зараженное устройство.