据观察，被称为 Kimsuky 的朝鲜间谍活动参与者使用三种不同的 Android 恶意软件来针对韩国某些用户。这是根据韩国网络安全公司 S2W 的调查结果，该公司将恶意软件家族命名为 FastFire、FastViewer 和 FastSpy。

研究人员 Lee Sebin 和 Shin Yeongjae指出，FastFire 恶意软件伪装成谷歌安全插件，FastViewer恶意软件伪装成‘Hancom Office Viewer’，而FastSpy是基于AndroSpy的远程访问工具。Kimsuky，也被称为 Black Banshee、Thallium 和 Velvet Chollima。据悉被朝鲜以一项全球情报收集任务，不成比例地针对韩国、日本和美国的个人和组织。

去年8月，卡巴斯基发现了一个名为GoldDragon的未曾记录的感染链，以部署一个 Windows 后门，该后门能够从受害者那里窃取信息，例如文件列表、用户击键和存储的 Web 浏览器登录凭据。

Android 版本的AppleSeed植入程序也知道这种高级持续性威胁可以执行任意操作并从受感染的设备中泄露信息。 

FastFire、FastViewer 和 FastSpy 是其不断发展的 Android 恶意软件库的最新成员，旨在接收来自 Firebase 的命令并下载其他有效负载。

“FastViewer 是一个重新打包的 APK，通过将攻击者插入的任意恶意代码添加到普通的 Hancom Office Viewer 应用程序中，”研究人员说，并补充说恶意软件还会下载 FastSpy 作为下一阶段。

有问题的流氓应用程序如下 ：

com.viewer.fastsecure（Google 보안 插件）

com.tf.thinkdroid.secviewer (FastViewer)

FastViewer 和 FastSpy 都滥用 Android 的可访问性 API 权限来实现其间谍行为，后者自动用户点击以类似于MaliBot的方式授予自己广泛的权限。

FastSpy 启动后，使攻击者能够控制目标设备、拦截电话和短信、跟踪用户的位置、获取文档、捕获击键并记录来自手机摄像头、麦克风和扬声器的信息。

2022 年 5 月曾被用于一次活动中，该活动被确定为由该组织精心策划，以分发伪装成朝鲜相关新闻的恶意软件发布。

研究人员表示：“Kimsuky 集团不断进行攻击，以窃取目标针对移动设备的信息。此外，正在通过定制开源 RAT 的 Androspy 进行各种尝试来绕过检测。”

由于 Kimsuky 集团的移动攻击策略越来越先进，因此有必要小心针对 Android 设备的复杂攻击。

来源：E安全