Авторите на RedDawn са насочени към жертви на Северна Корея, използвайки Messenger
Северна Корея е известна със своя тоталитарен режим по целия свят. Също така не е тайна, че жителите се опитват да избягат от страната, като рискуват живота си. След бягството обаче те все още може да бъдат открити и проследени, както откриха експерти по сигурността от McAfee[1] нова поредица от атаки на зловреден софтуер, насочени към севернокорейски дезертьори.
Зловредният софтуер, наречен RedDawn, беше открит от специалисти по сигурността в три различни приложения в Google Play Store. Ако се изпълни и инсталира на устройство с Android, може да открадне значително количество лични данни информация, като списък с контакти, съобщения, снимки, телефонни номера, информация за социалните медии и подобни данни. По-късно може да се използва за заплаха на жертвите.
Тези заразени приложения могат да бъдат изтеглени свободно от техните официални сайтове и други ресурси. Хакерската група, наречена Sun Team, обаче разчита на друг метод – Messenger на Facebook. Те го използваха, за да общуват с жертвите и да ги подтикват да изтеглят вируса с помощта на фишинг съобщения. Фалшивите акаунти, създадени от хакери, използват откраднати снимки в социалните мрежи на южнокорейци, а доста хора съобщават за измама с самоличност.
[2]Както е очевидно, кибермошениците разпространяват зловреден софтуер с помощта на Messenger[3] за известно време и не изглежда, че този тип атаки ще спрат скоро. След откриването всички злонамерени приложения бяха свалени от Google.
Злонамерените приложения, за щастие, не са били изтеглени от много хора
Тези три приложения, открити от екипа по сигурността на McAfee като злонамерени, са:
- 음식궁합 (информация за хранителните съставки)
- Бързо заключване на приложения
- AppLockFree
Докато първото приложение се фокусира върху приготвянето на храна, други две бяха свързани с онлайн сигурността (по ирония на съдбата). Независимо от съдържанието на приложението, изглежда, че Sun Team се опита да се хареса на множество хора.
Инфекциите са многоетапни, тъй като първите две приложения получават команди, заедно с .dex изпълним файл от отдалечен облачен сървър. Смята се, че за разлика от първите две приложения, AppLockFree се използва за стадий на наблюдение на инфекцията. Въпреки това, след като полезният товар се изпълни, зловредният софтуер може да събере необходимата информация за потребителите и да я изпрати до Sun Team, използвайки Dropbox и Yandex облачни услуги.
Експертите по сигурността успяха да уловят зловреден софтуер на ранен етап, което означава, че той не се разпространи широко. Въпреки това се смята, че около 100 инфекции са се случили преди Google да премахне злонамерените приложения от техния магазин.
Предишните атаки на Sun Team също бяха насочени към корейски дезертьори
RedDawn не е първата атака на зловреден софтуер, извършена от Sun Team. Изследователите по сигурността публикуваха доклад през януари 2018 г. за друга поредица от атаки на зловреден софтуер, насочени към корейски дезертьори и журналисти, използващи Kakao Talk[4] и други социални мрежи през 2017 г. Отне два месеца, преди злонамерените приложения да бъдат забелязани и премахнати от Google.
Изследователите по сигурността биха могли уверено да свържат тези атаки със севернокорейци въз основа на факта, че са намерили някои думи на контролния сървър на зловреден софтуер, които не са местни за Южна Корея. Освен това IP адресът също сочи към Северна Корея.
Според проучване около 30 000 севернокорейци са избягали на юг и повече от 1000 се опитват да избягат от режима всяка година. Въпреки че Ким Чен Ун наскоро разговаряше с американски и южнокорейски лидери за прекратяване на 60-годишна война,[5] атаки като тези доказват колко потискащи са всъщност възгледите на севернокорейските лидери.