Kimsuky黑客使用3个新的Android恶意软件来攻击韩国人-讯岚网络信息安全

据观察，以朝鲜间谍为重点的行为者Kimsuky使用了三种不同的Android恶意软件，针对位于其南部的用户。

根据韩国网络安全公司S2W的调查结果，该公司将恶意软件家族命名为Fast Fire、Fast Viewer和Fast Spy。

研究人员Lee Sebin和Shin Yeongjae说，FastFire恶意软件伪装成谷歌安全插件，FastViewer恶意软件伪装成” Hancom Office Viewer “，而FastSpy是基于AndroSpy的远程访问工具。

Kimsuky也被称为Thallium和Velvet千里马，被认为是朝鲜政权的全球情报收集任务，不成比例地针对韩国、日本和美国的个人和组织。

今年8月，卡巴斯基挖掘出一条先前无证可查的被称为”黄金龙” ( GoldDragon )的感染链，用于部署能够窃取受害者信息的Windows后门，如文件列表、用户击键和存储的Web浏览器登录凭据。

高级持续性威胁也是Android版本的阿普尔西德植入体所知的，用于执行任意操作并从受感染设备中提取信息。

Fast Fire、Fast Viewer和Fast Spy是其不断发展的Android恶意软件武器库的最新添加，旨在接收重火力点的命令并下载额外的有效载荷。

研究人员说，FastViewer是一个重新打包的APK，通过将攻击者插入的任意恶意代码添加到正常的Hancom Office Viewer应用程序中。

问题中的流氓应用程序如下：

Com.Viewer.Fastsecurity ( Google 보 안插件)

Com.Tf.Thinkdroid.Secviewer ( Fastviewer )

FastViewer和FastSpy都滥用Android的可访问性API权限来完成其间谍行为，后者以类似于MaliBot的方式自动化用户点击来授予自己广泛的权限。

S2W将恶意软件归因于Kimsuky的依据是与一个名为” mc.pzs [ . ] kr “的服务器域重叠，该服务器域此前曾在2022年5月的一次活动中被使用，该活动被该组织策划，以分发伪装成朝鲜相关新闻稿的恶意软件。

研究人员说，Kimsuky集团不断进行攻击，以窃取目标移动设备的信息。此外，通过定制开源RAT ‘ Androspy来绕过检测的各种尝试正在进行。