FastViewer Android 恶意软件与朝鲜威胁组织相关联
与移动安全公司 Talon Cyber Security 合作的一个团队发现了三个针对 Android 设备的新恶意程序包。这三个恶意软件包都与在朝鲜境外活动的威胁行为者相关联,该威胁行为者以“Kimsuky group”为名。
这三个新的恶意软件变种被命名为 FastFire、FastSpy 和 FastViewer。所有这三个都被发现针对可以运行 Android 的设备。
虽然 FastFire 以 Google 安全更新的名义为您的设备分发,但 FastViewer 伪装成 Hancom Office Viewer 应用程序。 Hancom 查看器是一个合法的应用程序,在 Google Play 官方商店有数百万的下载量。真正的 FastViewer 恶意版本在包中注入了恶意代码。
从表面上看,恶意 FastViewer 的行为类似于普通文件查看器,但它的恶意功能会在它打开由恶意软件作者创建的经过特殊修改的文件时启动。恶意应用程序对正在打开的文件的前四个字节进行字节检查,如果满足确定的条件,恶意软件就会联系其命令和控制服务器。
一旦发生这种情况,FastViewer 还会在受感染的设备上下载 FastSpy 恶意软件。