Los autores de RedDawn están apuntando a las víctimas de Corea del Norte mediante Messenger
Corea del Norte es conocida por su régimen totalitario en todo el mundo. Tampoco es un secreto que los residentes intentan huir del país arriesgando sus vidas. Sin embargo, después de la fuga, es posible que aún se detecten y rastreen, como descubrieron los expertos en seguridad de McAfee.[1] una nueva serie de ataques de malware dirigidos a los desertores norcoreanos.
El malware, denominado RedDawn, fue encontrado por especialistas en seguridad en tres aplicaciones diferentes en Google Play Store. Si se ejecuta e instala en un dispositivo Android, puede robar una cantidad significativa de información, como lista de contactos, mensajes, fotos, números de teléfono, información de redes sociales y datos similares. Posteriormente, se puede utilizar para amenazar a las víctimas.
Estas aplicaciones infectadas se pueden descargar libremente desde sus sitios oficiales y otros recursos. Sin embargo, el grupo de hackers llamado Sun Team ha estado confiando en otro método: el Messenger de Facebook. Lo usaron para comunicarse con las víctimas e instarlas a descargar el virus mediante mensajes de phishing. Las cuentas falsas creadas por piratas informáticos utilizan fotos robadas de redes sociales de surcoreanos, y bastantes personas denunciaron fraude de identidad.
Como es evidente, los ciberdelincuentes han estado propagando malware utilizando Messenger[3] por un tiempo, y no parece que este tipo de ataques vayan a detenerse pronto. Desde el descubrimiento, Google eliminó todas las aplicaciones maliciosas.
Las aplicaciones maliciosas, afortunadamente, no han sido descargadas por muchos
Estas tres aplicaciones que el equipo de seguridad de McAfee descubrió como maliciosas son:
- 음식 궁합 (Información sobre ingredientes alimentarios)
- Bloqueo rápido de aplicaciones
- AppLockFree
Si bien la primera aplicación se centró en la preparación de alimentos, otras dos estaban conectadas a la seguridad en línea (irónicamente). Independientemente del contenido de la aplicación, parece que Sun Team intentó atraer a varias personas.
Las infecciones tienen varias etapas, ya que las dos primeras aplicaciones obtienen comandos, junto con un archivo .dex ejecutable desde un servidor en la nube remoto. Se cree que, a diferencia de las dos primeras aplicaciones, AppLockFree se utiliza para la etapa de vigilancia de la infección. Sin embargo, una vez que se ejecuta la carga útil, el malware puede recopilar la información necesaria sobre los usuarios y enviarla a Sun Team mediante los servicios basados en la nube de Dropbox y Yandex.
Los expertos en seguridad lograron detectar malware en las primeras etapas, lo que significa que no se extendió ampliamente. Sin embargo, se percibe que se produjeron alrededor de 100 infecciones antes de que Google retirara las aplicaciones maliciosas de su tienda.
Los ataques anteriores del Sun Team también habían estado dirigidos a desertores coreanos.
RedDawn no es el primer ataque de malware llevado a cabo por Sun Team. Los investigadores de seguridad publicaron un informe en enero de 2018 sobre otra serie de ataques de malware dirigidos a desertores y periodistas coreanos que utilizan Kakao Talk.[4] y otras redes sociales durante 2017. Pasaron dos meses antes de que Google detectara y eliminara las aplicaciones maliciosas.
Los investigadores de seguridad podrían vincular con confianza estos ataques a los norcoreanos basándose en el hecho de que encontraron algunas palabras en el servidor de control de malware que no son nativas de Corea del Sur. Además, la dirección IP también apuntaba a Corea del Norte.
Según la investigación, alrededor de 30.000 norcoreanos huyeron al Sur y más de 1.000 intentan escapar del régimen cada año. Aunque Kim Jong Un habló recientemente con líderes estadounidenses y surcoreanos sobre el fin de una guerra de 60 años,[5] Ataques como estos demuestran cuán opresivas son realmente las opiniones de los líderes norcoreanos.