تستهدف تطبيقات Google Play المصابة المنشقين الكوريين الشماليين

منوعاتDec 20, 2021
click fraud protection

يستهدف مؤلفو RedDawn ضحايا كوريا الشمالية باستخدام Messenger

يستخدم الكوريون الشماليون البرامج الضارة التي تم تحميلها على متجر Play لتتبع اللاجئين

تشتهر كوريا الشمالية بنظامها الشمولي حول العالم. كما أنه ليس سراً أن السكان يحاولون الفرار من البلاد بينما يخاطرون بحياتهم. بعد الهروب ، ومع ذلك ، ربما لا يزال يتم اكتشافهم وتعقبهم ، كما اكتشف خبراء الأمن من McAfee[1] سلسلة جديدة من هجمات البرمجيات الخبيثة التي تستهدف المنشقين الكوريين الشماليين.

تم العثور على البرامج الضارة ، التي يطلق عليها اسم RedDawn ، بواسطة متخصصين أمنيين في ثلاثة تطبيقات مختلفة على متجر Google Play. إذا تم تنفيذه وتثبيته على جهاز Android ، فيمكنه سرقة قدر كبير من الأشياء الشخصية المعلومات ، مثل قائمة جهات الاتصال والرسائل والصور وأرقام الهواتف ومعلومات الوسائط الاجتماعية و بيانات مماثلة. في وقت لاحق ، يمكن استخدامه لتهديد الضحايا.

يمكن تنزيل هذه التطبيقات المصابة مجانًا من مواقعها الرسمية والموارد الأخرى. ومع ذلك ، فإن مجموعة المتسللين التي تدعى Sun Team كانت تعتمد على طريقة أخرى - Facebook's Messenger. استخدموه للتواصل مع الضحايا وحثهم على تنزيل الفيروس باستخدام رسائل التصيد الاحتيالي. تستخدم الحسابات المزيفة التي أنشأها المتسللون صورًا مسروقة على الشبكات الاجتماعية لكوريين جنوبيين ، وأبلغ عدد غير قليل من الأفراد عن احتيال في الهوية.

[2]

كما هو واضح ، كان المحتالون الإلكترونيون ينشرون البرامج الضارة باستخدام Messenger[3] لبعض الوقت الآن ، ولا يبدو أن هذا النوع من الهجمات سيتوقف في أي وقت قريبًا. منذ الاكتشاف ، تم حذف جميع التطبيقات الضارة بواسطة Google.

لحسن الحظ ، لم يتم تنزيل التطبيقات الضارة من قبل الكثيرين

هذه التطبيقات الثلاثة التي اكتشفها فريق الأمان من McAfee على أنها ضارة هي:

  • 음식 궁합 (معلومات عن مكونات الطعام)
  • قفل التطبيق السريع
  • AppLockFree

بينما ركز التطبيق الأول على إعداد الطعام ، تم ربط تطبيقين آخرين بالأمان عبر الإنترنت (ومن المفارقات). بغض النظر عن محتوى التطبيق ، يبدو أن فريق صن حاول جذب عدة أشخاص.

تكون حالات العدوى متعددة المراحل ، حيث يحصل أول تطبيقين على الأوامر ، جنبًا إلى جنب مع ملف .dex قابل للتنفيذ من خادم سحابي بعيد. من المعتقد أنه على عكس التطبيقين الأولين ، يتم استخدام AppLockFree لمرحلة مراقبة الإصابة. ومع ذلك ، بمجرد تنفيذ الحمولة ، يمكن للبرامج الضارة جمع المعلومات المطلوبة حول المستخدمين وإرسالها إلى Sun Team باستخدام خدمات Dropbox و Yandex المستندة إلى السحابة.

تمكن خبراء الأمن من اكتشاف البرامج الضارة في مراحل مبكرة ، مما يعني أنها لم تنتشر على نطاق واسع. ومع ذلك ، فمن المتصور حدوث حوالي 100 إصابة قبل أن تزيل Google التطبيقات الضارة من متجرها.

كانت هجمات فريق صن السابقة تستهدف المنشقين الكوريين أيضًا

RedDawn ليس أول هجوم بالبرمجيات الخبيثة ينفذه فريق صن. نشر باحثون أمنيون تقريرًا في يناير 2018 حول سلسلة أخرى من هجمات البرمجيات الخبيثة التي استهدفت منشقين وصحفيين كوريين يستخدمون Kakao Talk[4] وغيرها من الشبكات الاجتماعية خلال عام 2017. استغرق الأمر شهرين قبل اكتشاف Google التطبيقات الضارة وإزالتها.

يمكن للباحثين في مجال الأمن أن يربطوا بثقة بين هذه الهجمات والكوريين الشماليين بناءً على حقيقة أنهم وجدوا بعض الكلمات على خادم التحكم في البرامج الضارة ليست موطنًا لكوريا الجنوبية. إلى جانب ذلك ، أشار عنوان IP أيضًا إلى كوريا الشمالية.

وفقًا للأبحاث ، فر حوالي 30 ألف كوري شمالي إلى الجنوب وأكثر من 1000 يحاولون الهروب من النظام كل عام. على الرغم من أن كيم جونغ أون كان يتحدث مؤخرًا مع قادة أمريكا وكوريا الجنوبية حول إنهاء حرب عمرها 60 عامًا ،[5] مثل هذه الهجمات تثبت مدى جائرة آراء قادة كوريا الشمالية حقًا.