Infikované aplikace Google Play se zaměřují na severokorejské přeběhlíky

RůznéDec 20, 2021
click fraud protection

Autoři RedDawn se pomocí Messengeru zaměřují na severokorejské oběti

Severokorejci používají ke sledování uprchlíků malware nahraný v Obchodě Play

Severní Korea je známá svým totalitním režimem po celém světě. Není také tajemstvím, že se obyvatelé pokoušejí uprchnout ze země a riskují přitom své životy. Po útěku však mohou být stále odhaleni a sledováni, jak zjistili bezpečnostní experti z McAfee[1] nový řetězec malwarových útoků, které se zaměřují na severokorejské přeběhlíky.

Malware s názvem RedDawn našli bezpečnostní specialisté ve třech různých aplikacích v Obchodě Google Play. Pokud je spuštěn a nainstalován na zařízení Android, může ukrást značné množství osobních údajů informace, jako je seznam kontaktů, zprávy, fotografie, telefonní čísla, informace ze sociálních sítí a podobné údaje. Později může být použit k vyhrožování obětem.

Tyto infikované aplikace lze volně stáhnout z jejich oficiálních stránek a dalších zdrojů. Hackerská skupina Sun Team však spoléhá na jinou metodu – Facebook Messenger. Použili jej ke komunikaci s oběťmi a vyzvali je ke stažení viru pomocí phishingových zpráv. Falešné účty vytvořené hackery používají ukradené fotografie Jihokorejců ze sociálních sítí a několik jednotlivců nahlásilo podvody s identitou.

[2]

Jak je zřejmé, kybernetičtí podvodníci šíří malware pomocí Messengeru[3] už chvíli a nezdá se, že by tento typ útoků v dohledné době skončil. Od objevení byly všechny škodlivé aplikace odstraněny společností Google.

Škodlivé aplikace si naštěstí mnoho lidí nestáhlo

Tyto tři aplikace, které bezpečnostní tým společnosti McAfee objevil jako škodlivé, jsou:

  • 음식궁합 (Informace o složkách potravin)
  • Rychlý AppLock
  • AppLockFree

Zatímco první aplikace se zaměřovala na přípravu jídla, další dvě byly napojeny na online bezpečnost (ironicky). Bez ohledu na obsah aplikace se zdá, že tým Sun se snažil oslovit více lidí.

Infekce jsou vícestupňové, protože první dvě aplikace získávají příkazy spolu se souborem .dex spustitelným ze vzdáleného cloudového serveru. Předpokládá se, že na rozdíl od prvních dvou aplikací se AppLockFree používá pro fázi sledování infekce. Nicméně, jakmile je užitečné zatížení spuštěno, malware může shromáždit potřebné informace o uživatelích a odeslat je týmu Sun pomocí cloudových služeb Dropbox a Yandex.

Bezpečnostním expertům se podařilo zachytit malware v raných fázích, což znamená, že se příliš nerozšířil. Přesto se má za to, že předtím, než Google stáhl škodlivé aplikace z jejich obchodu, došlo k přibližně 100 infekcím.

Předchozí útoky Sun Teamu se zaměřovaly také na korejské přeběhlíky

RedDawn není prvním malwarovým útokem provedeným Sun Teamem. Bezpečnostní výzkumníci zveřejnili v lednu 2018 zprávu o dalším řetězci malwarových útoků, které se zaměřovaly na korejské přeběhlíky a novináře pomocí Kakao Talk.[4] a další sociální sítě v průběhu roku 2017. Trvalo dva měsíce, než Google odhalil a odstranil škodlivé aplikace.

Bezpečnostní výzkumníci mohli s jistotou spojit tyto útoky se Severokorejci na základě skutečnosti, že na kontrolním serveru malwaru našli některá slova, která nepocházejí z Jižní Koreje. Kromě toho IP adresa také ukazovala na Severní Koreu.

Podle výzkumu kolem 30 000 Severokorejců uprchlo na jih a více než 1000 se každý rok pokouší uniknout režimu. Přestože Kim Čong-un nedávno hovořil s americkými a jihokorejskými vůdci o ukončení 60 let staré války,[5] podobné útoky dokazují, jak represivní názory severokorejských vůdců skutečně jsou.