Kimsuky (também conhecido como Thallium, Black Banshee, Velvet Chollima) é um grupo de hackers norte-coreano que tem como alvo ativo usuários de dispositivos Android com 3 novos malwares móveis que foram recentemente descoberto pelos especialistas em segurança cibernética da S2W.
Este grupo está ativo desde 2012 e realizou vários ataques cibernéticos a alvos que estão envolvidos nos seguintes setores em todo o mundo:-
- meios de comunicação
- Pesquisar
- Política
- Diplomacia
- Finança
Os dados são coletados principalmente por esse grupo de hackers por meio da distribuição de malware e ataques de spear-phishing, por meio dos quais eles obtêm acesso às contas das vítimas.
Cepas de malware
Deve-se observar que as cepas de malware foram nomeadas da seguinte maneira pela empresa sul-coreana de segurança cibernética S2W: –
- FastFire: FastFire disfarçado de plug-in de segurança do Google.
- Visualizador rápido: O malware FastViewer se disfarça como “Hancom Viewer”.
- Espião Rápido: FastSpy é uma ferramenta de acesso remoto baseada na ferramenta AndroSpy de código aberto.
No que diz respeito a Kimsuky, espera-se que a Coreia do Norte conduza uma missão de recolha de informações sob a cortina de Kimsuky em todo o mundo.
O foco principal deste grupo está nas organizações e entidades dos seguintes países: –
Análise técnica
No passado, os invasores conseguiam executar ações arbitrárias em dispositivos infectados por meio da versão Android do implante AppleSeed.
As três famílias de malware descobertas recentemente são as últimas adições ao arsenal de Kimsuky. Este conjunto de malware foi projetado principalmente para executar duas tarefas principais: –
- Receba comandos do Firebase
- Baixe cargas adicionais
Existe uma ordem pré-determinada em que o FastFire é executado, que começa com MainActivity. “com.viewer.fastsecure” é o nome do pacote do APK malicioso, que se disfarça como um plug-in de segurança do Google.
Não há como descobrir que ele está instalado depois de instalado porque oculta o ícone do inicializador. Usando as permissões da API de acessibilidade, FastViewer e FastSpy realizam atividades de espionagem em dispositivos Android.
Ao iniciar o FastSpy, ele dará ao invasor controle total sobre os dispositivos que estão sendo alvo de roubo e sequestro dos seguintes dados e componentes:-
- Chamadas
- SMS
- Localizações
- Documentos
- Teclas
- Câmera
- Gravações
- Microfone
- caixas de som
Essas três famílias de malware foram atribuídas ao grupo de hackers Kimsuky, já que foi descoberto que esse grupo usa o domínio “mc.pzs[.]kr.” Embora seja o nome de domínio que foi usado anteriormente pelo grupo em uma campanha anterior operada em maio de 2022.
É imperativo que os usuários tenham cuidado com ataques sofisticados direcionados a dispositivos Android, pois a estratégia de segmentação móvel do Grupo Kimsuky está se tornando mais sofisticada e avançada.
Proteção gerenciada contra ataques DDoS para aplicativos – Baixe o guia grátis