27/10/22
О трех новых вредоносах в арсенале Kimsuky рассказали исследователи из южнокорейской ИБ-компании S2W. Ими оказались три программы, используемые хакерами для шпионажа:
- FastFire, которая маскируется под плагин безопасности Google;
- FastViewer, которая маскируется под приложение 'Hancom Office Viewer' и загружает FastSpy на одном из этапов заражения;
- FastSpy – инструмент, который позволяет злоумышленникам захватить контроль над устройствами, перехватывать телефонные звонки и SMS, отслеживать местоположение пользователей, собирать документы, перехватывать нажатия клавиш и записывать информацию с камеры, микрофона и динамика телефона. Основан на AndroSpy.
Ранее злоумышленники использовали Android-версию импланта AppleSeed для выполнения произвольных действий и кражи информации с зараженных устройств. А FastFire, FastViewer и FastSpy – это последние дополнения в арсенале группировки, которые предназначены для получения команд от Firebase и загрузки дополнительной полезной нагрузки.
Специалисты отмечают, что FastViewer и FastSpy злоупотребляют Accessibility API, чтобы шпионить за жертвами. Причем FastSpy может имитировать нажатия на экран, чтобы получить еще больше разрешений. Это сообщает Securitylab.
Южнокорейские специалисты приписали три вредоноса Kimisky, так как используемый ими домен совпадает с доменом сервера под названием "mc.pzs[.]kr", который использовался группировкой в мае 2022 года. Тогда злоумышленники распространяли вредоносное ПО, маскируя его под пресс-релизы, связанные с Северной Кореей.
