RedDawn-forfattere retter sig mod nordkoreanske ofre ved hjælp af Messenger
Nordkorea er kendt for sit totalitære regime rundt om i verden. Det er heller ikke nogen hemmelighed, at indbyggerne forsøger at flygte ud af landet, mens de risikerer deres liv. Efter flugten kan de dog stadig blive opdaget og sporet, som sikkerhedseksperter fra McAfee opdagede[1] en ny række malware-angreb, der retter sig mod nordkoreanske afhoppere.
Malwaren, kaldet RedDawn, blev fundet af sikkerhedsspecialister i tre forskellige apps i Google Play Butik. Hvis den udføres og installeres på Android-enhed, kan den stjæle en betydelig mængde personligt oplysninger, såsom kontaktliste, beskeder, fotos, telefonnumre, oplysninger om sociale medier og lignende data. Senere kan det bruges til at true ofre.
Disse inficerede apps kan gratis downloades fra deres officielle websteder og andre ressourcer. Hackergruppen kaldet Sun Team har dog været afhængig af en anden metode – Facebooks Messenger. De brugte den til at kommunikere med ofre og opfordrede dem til at downloade virussen ved hjælp af phishing-beskeder. De falske konti, der er oprettet af hackere, bruger stjålne sociale netværksbilleder af sydkoreanere, og en hel del personer rapporterede identitetssvig.
[2]Som det er tydeligt, har cyberskurke spredt malware ved hjælp af Messenger[3] i et stykke tid nu, og det ser ikke ud til, at denne type angreb vil stoppe foreløbigt. Siden opdagelsen er alle ondsindede apps blevet fjernet af Google.
Ondsindede apps er heldigvis ikke blevet downloadet af mange
Disse tre apps opdaget af sikkerhedsteamet fra McAfee som ondsindede er:
- 음식궁합 (info om fødevareingredienser)
- Hurtig AppLock
- AppLockFree
Mens den første app fokuserede på madlavning, var to andre forbundet med onlinesikkerheden (ironisk nok). Uanset app-indholdet, ser det ud til, at Sun Team forsøgte at appellere til flere mennesker.
Infektioner er flertrins, da de første to apps får kommandoer sammen med en .dex-eksekverbar fil fra en ekstern cloud-server. Det menes, at i modsætning til de to første apps, bruges AppLockFree til overvågningsstadiet af infektionen. Ikke desto mindre, når nyttelasten er udført, kan malware høste de nødvendige oplysninger om brugere og sende dem til Sun Team ved hjælp af Dropbox og Yandex cloud-baserede tjenester.
Sikkerhedseksperter formåede at fange malware i tidlige stadier, hvilket betyder, at den ikke spredte sig meget. Ikke desto mindre opfattes det, at omkring 100 infektioner fandt sted, før Google fjernede de ondsindede apps fra deres butik.
Tidligere Sun Team-angreb havde også været rettet mod koreanske afhoppere
RedDawn er ikke det første malwareangreb udført af Sun Team. Sikkerhedsforskere offentliggjorde en rapport i januar 2018 om en anden række malware-angreb, som var rettet mod koreanske afhoppere og journalister, der brugte Kakao Talk[4] og andre sociale netværk i 2017. Det tog to måneder, før ondsindede apps blev opdaget og fjernet af Google.
Sikkerhedsforskere kunne trygt forbinde disse angreb med nordkoreanere baseret på det faktum, at de fandt nogle ord på malwares kontrolserver, som ikke er hjemmehørende i Sydkorea. Desuden pegede IP-adressen også på Nordkorea.
Ifølge forskning flygtede omkring 30.000 nordkoreanere mod syd, og mere end 1000 forsøger at undslippe regimet hvert år. Selvom Kim Jong Un for nylig talte med amerikanske og sydkoreanske ledere om at afslutte en 60 år gammel krig,[5] angreb som disse beviser, hvor undertrykkende de nordkoreanske lederes synspunkter i virkeligheden er.