Se ha observado que el actor centrado en el espionaje de Corea del Norte conocido como Kimsuky usa tres cepas diferentes de malware de Android para atacar a los usuarios ubicados en su contraparte del sur.
Eso es según los hallazgos de la empresa de ciberseguridad de Corea del Sur S2W, que nombró a las familias de malware FastFire, FastViewer y FastSpy.
«El malware FastFire se disfraza como un complemento de seguridad de Google, y el malware FastViewer se disfraza como ‘Hancom Office Viewer’. [while] FastSpy es una herramienta de acceso remoto basada en androespía«, los investigadores Lee Sebin y Shin Yeongjae dijo.
Se cree que Kimsuky, también conocido por los nombres Black Banshee, Thallium y Velvet Chollima, está encargado por el régimen de Corea del Norte con una misión global de recopilación de inteligencia, dirigida de manera desproporcionada a personas y organizaciones en Corea del Sur, Japón y EE. UU.
En agosto pasado, Kaspersky descubrió una cadena de infección previamente no documentada denominada GoldDragon para implementar una puerta trasera de Windows capaz de robar información de la víctima, como listas de archivos, pulsaciones de teclas del usuario y credenciales de inicio de sesión del navegador web almacenadas.
La amenaza persistente avanzada también es conocida por una versión de Android del implante AppleSeed para ejecutar acciones arbitrarias y filtrar información de los dispositivos infectados.
FastFire, FastViewer y FastSpy son las últimas incorporaciones a su arsenal de malware Android en evolución, que están diseñados para recibir comandos de Firebase y descargar cargas útiles adicionales.
«FastViewer es un APK reempaquetado al agregar un código malicioso arbitrario insertado por un atacante a la aplicación Hancom Office Viewer normal», dijeron los investigadores, y agregaron que el malware también descarga FastSpy como la siguiente etapa.
Las aplicaciones maliciosas en cuestión están a continuación:
- com.viewer.fastsecure (complemento de Google)
- com.tf.thinkdroid.secviewer (visor rápido)
Tanto FastViewer como FastSpy abusan de los permisos de la API de accesibilidad de Android para cumplir con sus comportamientos de espionaje, y este último automatiza los clics de los usuarios para otorgarse amplios permisos de manera análoga a MaliBot.
FastSpy, una vez lanzado, permite al adversario tomar el control de los dispositivos objetivo, interceptar llamadas telefónicas y SMS, rastrear las ubicaciones de los usuarios, recopilar documentos, capturar pulsaciones de teclas y registrar información de la cámara, el micrófono y el altavoz del teléfono.
La atribución de S2W del malware a Kimsuky se basa en superposiciones con un dominio de servidor llamado «mc.pzs[.]kr», que se empleó anteriormente en un campaña mayo 2022 identificado como orquestado por el grupo para distribuir malware disfrazado de comunicados de prensa relacionados con Corea del Norte.
«El grupo Kimsuky ha realizado continuamente ataques para robar la información del objetivo dirigido a dispositivos móviles», dijeron los investigadores. «Además, se están realizando varios intentos para eludir la detección mediante la personalización de Androspy, una RAT de código abierto».
«Dado que la estrategia de orientación móvil del grupo Kimsuky se está volviendo más avanzada, es necesario tener cuidado con los ataques sofisticados dirigidos a dispositivos Android».