與朝鮮有關的黑客Kimsuky 正通過3個最新Android惡意軟件針對韓國
2022年10月31日
據觀察����,被稱為 Kimsuky 的朝鮮間諜活動參與者使用三種不同的 Android 惡意軟件來針對韓國某些用戶。這是根據韓國網絡安全公司 S2W 的調查結果�,該公司將惡意軟件家族命名為 FastFire�����、FastViewer 和 FastSpy�����。
研究人員 Lee Sebin 和 Shin Yeongjae指出����,FastFire 惡意軟件偽裝成谷歌安全插件,FastViewer惡意軟件偽裝成‘Hancom Office Viewer’�,而FastSpy是基于AndroSpy的遠程訪問工具。Kimsuky����,也被稱為 Black Banshee、Thallium 和 Velvet Chollima���。據悉被朝鮮以一項全球情報收集任務��,不成比例地針對韓國���、日本和美國的個人和組織�。
去年8月����,卡巴斯基發(fā)現了一個名為GoldDragon的未曾記錄的感染鏈,以部署一個 Windows 后門���,該后門能夠從受害者那里竊取信息���,例如文件列表、用戶擊鍵和存儲的 Web 瀏覽器登錄憑據�。
Android 版本的AppleSeed植入程序也知道這種高級持續(xù)性威脅可以執(zhí)行任意操作并從受感染的設備中泄露信息。
FastFire���、FastViewer 和 FastSpy 是其不斷發(fā)展的 Android 惡意軟件庫的最新成員�����,旨在接收來自 Firebase 的命令并下載其他有效負載����。
“FastViewer 是一個重新打包的 APK,通過將攻擊者插入的任意惡意代碼添加到普通的 Hancom Office Viewer 應用程序中��,”研究人員說����,并補充說惡意軟件還會下載 FastSpy 作為下一階段。
有問題的流氓應用程序如下 :
com.viewer.fastsecure(Google ?? 插件)
com.tf.thinkdroid.secviewer (FastViewer)
FastViewer 和 FastSpy 都濫用 Android 的可訪問性 API 權限來實現其間諜行為���,后者自動用戶點擊以類似于MaliBot的方式授予自己廣泛的權限。
FastSpy 啟動后��,使攻擊者能夠控制目標設備����、攔截電話和短信、跟蹤用戶的位置����、獲取文檔、捕獲擊鍵并記錄來自手機攝像頭����、麥克風和揚聲器的信息。
2022 年 5 月曾被用于一次活動中����,該活動被確定為由該組織精心策劃����,以分發(fā)偽裝成朝鮮相關新聞的惡意軟件發(fā)布�。
研究人員表示:“Kimsuky 集團不斷進行攻擊,以竊取目標針對移動設備的信息����。此外,正在通過定制開源 RAT 的 Androspy 進行各種嘗試來繞過檢測���?���!?/span>
由于 Kimsuky 集團的移動攻擊策略越來越先進��,因此有必要小心針對 Android 設備的復雜攻擊��。
來源:E安全
