FastViewer

Kimsuki APT (Advanced Persistent Threat) は、脅威ツールの武器を拡大し続けています。このグループは北朝鮮と関係があると考えられており、少なくとも 2012 年以降、韓国、日本、米国の個人や組織を標的にしてきました。ハッカーはサイバースパイ攻撃キャンペーンを専門としており、メディアで活動しているエンティティに侵入しようとしています。外交および政治セクター。

Kimsuki グループ (Thallium、Black Banshee、Velvet Chollima) の新しいマルウェアの脅威に関する詳細は、韓国のサイバーセキュリティ企業のサイバーセキュリティ研究者によるレポートで公開されました。研究者は、FastFire、FastViewer、FastSpy として追跡された 3 つのモバイル脅威を特定することができました。

FastViewer 技術詳細

FastViewer の脅威は、改変された「Hancom Office Viewer」アプリケーションを介して拡散されます。正規のソフトウェア ツールは、ユーザーが Word、PDF、.hwp (ハングル)、およびその他のドキュメントを開くことができるモバイル ドキュメント ビューアーです。実際のアプリケーションは、Google Play ストアで 1,000 万回以上ダウンロードされています。 Kimsuki のハッカーは、通常の Hancom Office Viewer アプリケーションを再パッケージ化して、任意の破損したコードを組み込みました。その結果、兵器化されたバージョンは、実際のアプリケーションと非常によく似たパッケージ名、アプリケーション名、およびアイコンを持っています。 FastViewer には、 jks Java ベースの証明書形式の証明書が装備されています。

この脅威は、インストール中に Android のアクセシビリティ権限を悪用します。これは、脅威的なアクションの多くを容易にするために必要なためです。マルウェアの要求が許可された場合、FastViewer はオペレーターからのコマンドを受信し、感染したデバイス上で永続化メカニズムを確立し、スパイ ルーチンを開始することができます。

Kimsuki サイバー犯罪者によって特別に作成されたドキュメントをスキャンするために改変されたアプリケーションが使用されると、マルウェアの脅威的な動作がアクティブになります。ファイルは通常のドキュメントに変換されてユーザーに表示されますが、デバイスのバックグラウンドで有害な動作が行われます。この脅威は、デバイスから多数の情報を収集し、それをコマンド アンド コントロール サーバーに漏らします。さらに、FastViewer の主な機能の 1 つは、3 番目に特定された Kimsuky 脅威である FastSpy を取得して展開することです。この有害なツールは、AndroSpy として知られるオープンソースの RAT マルウェアに似た複数の特徴を示します。

FastViewerビデオ

ヒント：サウンドをオンにして、フルスクリーンモードでビデオを視聴します。