RedDawn-Autoren zielen mit Messenger auf nordkoreanische Opfer
Nordkorea ist weltweit für sein totalitäres Regime bekannt. Es ist auch kein Geheimnis, dass Anwohner versuchen, unter Lebensgefahr aus dem Land zu fliehen. Nach der Flucht könnten sie jedoch noch entdeckt und verfolgt werden, wie Sicherheitsexperten von McAfee festgestellt haben[1] eine neue Reihe von Malware-Angriffen, die auf nordkoreanische Überläufer abzielen.
Die Schadsoftware namens RedDawn wurde von Sicherheitsspezialisten in drei verschiedenen Apps im Google Play Store gefunden. Wenn es auf einem Android-Gerät ausgeführt und installiert wird, kann es eine beträchtliche Menge an persönlichen Daten stehlen Informationen wie Kontaktliste, Nachrichten, Fotos, Telefonnummern, Informationen zu sozialen Medien und ähnliche Daten. Später kann es verwendet werden, um Opfer zu bedrohen.
Diese infizierten Apps können kostenlos von ihren offiziellen Websites und anderen Ressourcen heruntergeladen werden. Die Hackergruppe namens Sun Team verlässt sich jedoch auf eine andere Methode – den Messenger von Facebook. Sie nutzten es, um mit den Opfern zu kommunizieren und sie zu drängen, den Virus mithilfe von Phishing-Nachrichten herunterzuladen. Die von Hackern erstellten gefälschten Konten verwenden gestohlene Fotos von Südkoreanern aus sozialen Netzwerken, und nicht wenige Personen haben Identitätsbetrug gemeldet.
[2]Offensichtlich haben Cyberkriminelle über Messenger Malware verbreitet[3] seit einiger Zeit, und es sieht nicht so aus, als ob diese Art von Angriffen in absehbarer Zeit aufhören wird. Seit der Entdeckung wurden alle schädlichen Apps von Google entfernt.
Schädliche Apps wurden zum Glück nicht von vielen heruntergeladen
Diese drei Apps, die vom Sicherheitsteam von McAfee als bösartig erkannt wurden, sind:
- 음식궁합 (Informationen zu Lebensmittelzutaten)
- Schnelles AppLock
- AppLockFree
Während sich die erste App auf die Zubereitung von Speisen konzentrierte, waren die anderen beiden (ironischerweise) mit der Online-Sicherheit verbunden. Unabhängig vom Inhalt der App scheint das Sun-Team versucht zu haben, mehrere Personen anzusprechen.
Infektionen sind mehrstufig, da die ersten beiden Apps Befehle zusammen mit einer ausführbaren .dex-Datei von einem Remote-Cloud-Server erhalten. Es wird angenommen, dass AppLockFree im Gegensatz zu den ersten beiden Apps für die Überwachung der Infektionsphase verwendet wird. Sobald die Nutzlast jedoch ausgeführt wurde, kann Malware die erforderlichen Informationen über Benutzer sammeln und sie mithilfe der Cloud-basierten Dienste von Dropbox und Yandex an Sun Team senden.
Sicherheitsexperten haben es geschafft, Malware in einem frühen Stadium abzufangen, was bedeutet, dass sie sich nicht weit verbreitet hat. Es wird jedoch festgestellt, dass rund 100 Infektionen stattgefunden haben, bevor Google die schädlichen Apps aus seinem Store entfernt hat.
Frühere Angriffe des Sun-Teams zielten auch auf koreanische Überläufer ab
RedDawn ist nicht der erste Malware-Angriff von Sun Team. Sicherheitsforscher veröffentlichten im Januar 2018 einen Bericht über eine weitere Reihe von Malware-Angriffen, die mit Kakao Talk auf koreanische Überläufer und Journalisten abzielten[4] und anderen sozialen Netzwerken im Jahr 2017. Es dauerte zwei Monate, bis bösartige Apps von Google entdeckt und entfernt wurden.
Sicherheitsforscher konnten diese Angriffe getrost mit Nordkoreanern in Verbindung bringen, da sie auf dem Kontrollserver der Malware einige Wörter fanden, die nicht aus Südkorea stammen. Außerdem verwies die IP-Adresse auch auf Nordkorea.
Nach Recherchen flohen jährlich rund 30.000 Nordkoreaner in den Süden und mehr als 1.000 versuchen, dem Regime zu entkommen. Obwohl Kim Jong Un kürzlich mit amerikanischen und südkoreanischen Führern über die Beendigung eines 60 Jahre alten Krieges sprach,[5] Angriffe wie diese beweisen, wie bedrückend die Ansichten der nordkoreanischen Führer wirklich sind.