FastViewer Android-malware kopplad till nordkoreansk hotaktör

Ett team som arbetar med mobilsäkerhetsföretaget Talon Cyber Security identifierade en ny trio av skadliga paket riktade mot Android-enheter. Alla tre skadliga programpaket är kopplade till en hotaktör som opererar från Nordkorea och känd av handtaget "Kimsuky-gruppen".

De tre nya malware-varianterna heter FastFire, FastSpy och FastViewer. Alla tre hittades riktade mot enheter som kan köra Android.

Medan FastFire distribueras i skepnad av en säkerhetsuppdatering från Google för din enhet, utger sig FastViewer som Hancom Office Viewer-applikationen. Hancom-visningen är en legitim applikation som har miljontals nedladdningar på den officiella Google Play Store. Den skadliga versionen som verkligen är FastViewer har skadlig kod injicerad i paketet.

På ytan beter sig den skadliga FastViewer som en vanlig filvisare, men dess skadliga funktion slår in när den öppnar en speciellt manipulerad fil, skapad av skadlig programvaras författare. Det skadliga programmet gör en bytekontroll av de första fyra byten av filen som öppnas och om den uppfyller de fastställda villkoren kontaktar skadlig programvara dess kommando- och kontrollservrar.

När detta händer laddar FastViewer också ned FastSpy skadlig programvara på den infekterade enheten.