Peretas Kimsuky Terlihat Menggunakan 3 Malware Android Baru Untuk Menargetkan Warga Korea Selatan

Peretas Kimsuky Terlihat Menggunakan 3 Malware Android Baru Untuk Menargetkan Warga Korea Selatan

Aktor yang berfokus pada spionase Korea Utara yang terkenal sebagai Kimsuky telah teramati menggunakan tiga jenis malware Android yang berbeda untuk menargetkan pengguna yang berada di mitra selatannya.

Hal itu berdasarkan temuan dari perusahaan keamanan siber Korea Selatan S2W, yang menamai keluarga malware FastFire, FastViewer, dan FastSpy.

“Malware FastFire menyamar sebagai plugin keamanan Google, dan malware FastViewer menyamar sebagai ‘Hancom Office Viewer,’ [sementara] FastSpy adalah alat akses jarak jauh berbasis AndroSpy ,” kata peneliti Lee Se Bin dan Shin Yeong Jae .

Kimsuky, juga terkenal dengan nama Black Banshee, Thallium, dan Velvet Chollima. Mereka yakin Kimsuky milik rezim Korea Utara dengan misi pengumpulan intelijen global. Secara tidak proporsional menargetkan individu dan organisasi di Korea Selatan, Jepang, dan AS.

Rantai Infeksi GoldDragon

Agustus lalu, Kaspersky menemukan rantai infeksi yang sebelumnya tidak terdokumentasi yang mendapat julukan GoldDragon. Membuka lebar pintu belakang keamanan Windows yang mampu mencuri informasi dari korban. Seperti daftar file, penekanan tombol pengguna, hingga kredensial login browser web yang tersimpan.

Ancaman persisten tingkat lanjut juga implan AppleSeed versi Android ketahui untuk melakukan tindakan sewenang-wenang dan mengekstrak informasi dari perangkat yang terinfeksi.

FastFire, FastViewer, dan FastSpy adalah tambahan terbaru untuk gudang malware Android yang berkembang, yang terrancang untuk menerima perintah dari Firebase hingga mengunduh muatan tambahan.

“FastViewer adalah APK yang dikemas ulang dengan menambahkan kode berbahaya sewenang-wenang yang penyerang masukkan ke aplikasi Hancom Office Viewer biasa,” kata para peneliti, menambahkan malware juga mengunduh FastSpy sebagai tahap berikutnya.

Aplikasi jahat tersebut ada di bawah :

com.viewer.fastsecure (Google Plugin)
com.tf.thinkdroid.secviewer (FastViewer)

Peretas Kimsuky Terlihat Menyebabkan Penyalahgunaan Izin API

Baik FastViewer dan FastSpy menyalahgunakan izin API aksesibilitas Android untuk memenuhi perilaku mata-matanya, dengan yang terakhir mengotomatiskan klik pengguna untuk memberikan sendiri izin ekstensif dengan cara yang serupa dengan MaliBot .

FastSpy, memungkinkan musuh untuk menguasai perangkat target, mencegat panggilan telepon dan SMS, melacak lokasi pengguna. Memanen dokumen, menangkap penekanan tombol, dan merekam informasi dari kamera ponsel, mikrofon, dan speaker.

Atribusi S2W dari malware ke Kimsuky didasarkan pada tumpang tindih dengan domain server bernama “mc.pzs[.]kr,” yang sebelumnya berfungsi dalam kampanye Mei 2022. Teridentifikasi sebagai pengaturan oleh grup untuk mendistribusikan malware yang disamarkan sebagai pers terkait Korea Utara rilis.

“Kelompok Kimsuky terus melakukan serangan untuk mencuri informasi target yang menargetkan perangkat seluler,” kata para peneliti. “Selain itu, berbagai upaya sedang berlangsung untuk melewati deteksi dengan menyesuaikan Androspy, dan juga RAT open source.”

“Karena strategi penargetan seluler grup Kimsuky semakin maju, juga perlu berhati-hati terhadap serangan canggih yang menargetkan perangkat Android.”

Artikel ini telah terbit di The Hacker News