Nakatunud Google Play rakendused sihivad Põhja-Korea ülejooksikuid

MiscellaneaDec 20, 2021
click fraud protection

RedDawni autorid sihivad Messengeri abil Põhja-Korea ohvreid

Põhjakorealased kasutavad pagulaste jälgimiseks Play poodi üles laaditud pahavara

Põhja-Korea on tuntud oma totalitaarse režiimi poolest kogu maailmas. Samuti pole saladus, et elanikud üritavad oma eluga riskides riigist põgeneda. Pärast põgenemist võidakse neid siiski tuvastada ja jälgida, nagu avastasid McAfee turvaeksperdid[1] uus pahavararünnakute jada, mis on suunatud Põhja-Korea ülejooksikutele.

Pahavara, nimega RedDawn, leidsid turvaspetsialistid Google Play poe kolmest erinevast rakendusest. Kui see käivitatakse ja Android-seadmesse installitakse, võib see varastada märkimisväärse hulga isiklikke andmeid teavet, nagu kontaktide loend, sõnumid, fotod, telefoninumbrid, sotsiaalmeedia teave ja sarnased andmed. Hiljem saab seda kasutada ohvrite ähvardamiseks.

Neid nakatunud rakendusi saab nende ametlikelt saitidelt ja muudelt ressurssidelt vabalt alla laadida. Häkkerite grupp nimega Sun Team on aga tuginenud teisele meetodile – Facebooki Messengerile. Nad kasutasid seda ohvritega suhtlemiseks ja õhutamiseks andmepüügisõnumite abil viirust alla laadida. Häkkerite loodud võltskontodel on kasutatud lõunakorealastest varastatud sotsiaalvõrgustiku fotosid ning päris paljud isikud teatasid identiteedipettusest.

[2]

Nagu ilmne, on küberkelmid Messengeri abil pahavara levitanud[3] juba mõnda aega ja ei paista, et seda tüüpi rünnakud niipea lõppevad. Alates avastamisest eemaldas Google kõik pahatahtlikud rakendused.

Õnneks pole paljud pahatahtlikke rakendusi alla laadinud

Need kolm rakendust, mille McAfee turvameeskond avastas pahatahtlikena, on:

  • 음식궁합 (teave toidu koostisosade kohta)
  • Kiire AppLock
  • AppLockFree

Kui esimene rakendus keskendus toidu valmistamisele, olid teised kaks (irooniliselt) seotud veebiturvalisusega. Olenemata rakenduse sisust näib, et Sun Team püüdis paljudele inimestele meeldida.

Nakkused on mitmeastmelised, kuna kaks esimest rakendust saavad käsud koos kaugpilveserverist käivitatava .dex-failiga. Arvatakse, et erinevalt kahest esimesest rakendusest kasutatakse AppLockFree'i infektsiooni jälgimise etapis. Sellegipoolest võib pahavara pärast kasuliku koormuse käivitamist koguda kasutajate kohta vajalikku teavet ja saata selle Dropboxi ja Yandexi pilvepõhiste teenuste abil Sun Teamile.

Turvaeksperdid suutsid pahavara varajases staadiumis tabada, mis tähendab, et see ei levinud laiemalt. Sellest hoolimata arvatakse, et enne Google'i pahatahtlikud rakendused nende poest eemaldamist leidis aset umbes 100 nakatumist.

Varasemad Sun Teami rünnakud olid samuti suunatud Korea ülejooksikutele

RedDawn ei ole esimene pahavararünnak Sun Teami poolt. Turvateadlased avaldasid 2018. aasta jaanuaris aruande järjekordse pahavararünnakute jada kohta, mis olid suunatud Kakao Talki kasutavatele Korea läbimurdjatele ja ajakirjanikele.[4] ja teistes sotsiaalvõrgustikes 2017. aasta jooksul. Kulus kaks kuud, enne kui Google märkas ja eemaldas pahatahtlikud rakendused.

Turvauurijad võisid julgelt seostada need rünnakud põhjakorealastega, tuginedes asjaolule, et nad leidsid pahavara juhtimisserverist mõned sõnad, mis ei ole Lõuna-Korea päritolu. Pealegi viitas IP-aadress ka Põhja-Koreale.

Uuringute kohaselt põgenes umbes 30 000 põhjakorealast lõunasse ja üle 1000 üritab igal aastal režiimi eest põgeneda. Kuigi Kim Jong Un rääkis hiljuti Ameerika ja Lõuna-Korea juhtidega 60 aastat kestnud sõja lõpetamisest,[5] Sellised rünnakud tõestavad, kui rõhuvad Põhja-Korea juhtide seisukohad tegelikult on.