FastViewer Android 惡意軟件與朝鮮威脅組織相關聯
與移動安全公司 Talon Cyber Security 合作的一個團隊發現了三個針對 Android 設備的新惡意程序包。這三個惡意軟件包都與在朝鮮境外活動的威脅行為者相關聯,該威脅行為者以“Kimsuky group”為名。
這三個新的惡意軟件變種被命名為 FastFire、FastSpy 和 FastViewer。所有這三個都被發現針對可以運行 Android 的設備。
雖然 FastFire 以 Google 安全更新的名義為您的設備分發,但 FastViewer 偽裝成 Hancom Office Viewer 應用程序。 Hancom 查看器是一個合法的應用程序,在 Google Play 官方商店有數百萬的下載量。真正的 FastViewer 惡意版本在包中註入了惡意代碼。
從表面上看,惡意 FastViewer 的行為類似於普通文件查看器,但它的惡意功能會在它打開由惡意軟件作者創建的經過特殊修改的文件時啟動。惡意應用程序對正在打開的文件的前四個字節進行字節檢查,如果滿足確定的條件,惡意軟件就會聯繫其命令和控制服務器。
一旦發生這種情況,FastViewer 還會在受感染的設備上下載 FastSpy 惡意軟件。