Les auteurs de RedDawn ciblent les victimes nord-coréennes en utilisant Messenger
La Corée du Nord est connue pour son régime totalitaire dans le monde entier. Ce n'est pas non plus un secret que les habitants tentent de fuir le pays au péril de leur vie. Après l'évasion, cependant, ils pourraient toujours être détectés et suivis, comme l'ont découvert les experts en sécurité de McAfee.[1] une nouvelle série d'attaques de logiciels malveillants ciblant les transfuges nord-coréens.
Le malware, baptisé RedDawn, a été trouvé par des spécialistes de la sécurité dans trois applications différentes sur Google Play Store. S'il est exécuté et installé sur un appareil Android, il peut voler une quantité importante de données personnelles. informations, telles que la liste de contacts, les messages, les photos, les numéros de téléphone, les informations sur les réseaux sociaux et données similaires. Plus tard, il peut être utilisé pour menacer les victimes.
Ces applications infectées peuvent être téléchargées gratuitement à partir de leurs sites officiels et d'autres ressources. Cependant, le groupe de hackers appelé Sun Team s'est appuyé sur une autre méthode: Messenger de Facebook. Ils l'ont utilisé pour communiquer avec les victimes et les exhorter à télécharger le virus à l'aide de messages de phishing. Les faux comptes créés par les pirates utilisent des photos de réseaux sociaux volées de Sud-Coréens, et de nombreuses personnes ont signalé une fraude d'identité.
Comme il est évident, les cyber-escrocs ont propagé des logiciels malveillants à l'aide de Messenger[3] depuis un certain temps maintenant, et il ne semble pas que ce type d'attaques va s'arrêter de si tôt. Depuis la découverte, toutes les applications malveillantes ont été supprimées par Google.
Les applications malveillantes, heureusement, n'ont pas été téléchargées par beaucoup
Ces trois applications découvertes par l'équipe de sécurité de McAfee comme malveillantes sont :
- 음식궁합 (Informations sur les ingrédients alimentaires)
- AppLock rapide
- AppLockGratuit
Alors que la première application se concentrait sur la préparation des aliments, les deux autres étaient connectées à la sécurité en ligne (ironiquement). Quel que soit le contenu de l'application, il semble que la Sun Team ait essayé de faire appel à plusieurs personnes.
Les infections se déroulent en plusieurs étapes, car les deux premières applications reçoivent des commandes, ainsi qu'un exécutable .dex à partir d'un serveur cloud distant. On pense que, contrairement aux deux premières applications, AppLockFree est utilisé pour la surveillance de l'infection. Néanmoins, une fois la charge utile exécutée, les logiciels malveillants peuvent collecter les informations nécessaires sur les utilisateurs et les envoyer à Sun Team à l'aide des services basés sur le cloud Dropbox et Yandex.
Les experts en sécurité ont réussi à détecter les logiciels malveillants à un stade précoce, ce qui signifie qu'ils ne se sont pas largement répandus. Néanmoins, il est estimé qu'une centaine d'infections ont eu lieu avant que Google ne retire les applications malveillantes de son magasin.
Les précédentes attaques de la Sun Team visaient également des transfuges coréens
RedDawn n'est pas la première attaque de malware menée par Sun Team. Des chercheurs en sécurité ont publié un rapport en janvier 2018 sur une autre série d'attaques de logiciels malveillants ciblant des transfuges et des journalistes coréens utilisant Kakao Talk[4] et autres réseaux sociaux en 2017. Il a fallu deux mois avant que les applications malveillantes ne soient détectées et supprimées par Google.
Les chercheurs en sécurité pourraient en toute confiance lier ces attaques aux Nord-Coréens en se basant sur le fait qu'ils ont trouvé des mots sur le serveur de contrôle des logiciels malveillants qui ne sont pas originaires de Corée du Sud. En outre, l'adresse IP indiquait également la Corée du Nord.
Selon des recherches, environ 30 000 Nord-Coréens ont fui vers le Sud et plus de 1 000 tentent d'échapper au régime chaque année. Bien que Kim Jong Un ait récemment parlé aux dirigeants américains et sud-coréens de la fin d'une guerre vieille de 60 ans,[5] des attaques comme celles-ci prouvent à quel point les opinions des dirigeants nord-coréens sont vraiment oppressives.