Zaražene aplikacije Google Play ciljaju sjevernokorejske prebjege

MiscelaneaDec 20, 2021
click fraud protection

Autori RedDawn ciljaju sjevernokorejske žrtve koristeći Messenger

Sjevernokorejci koriste zlonamjerni softver prenesen na Play Store za praćenje izbjeglica

Sjeverna Koreja je poznata po svom totalitarnom režimu diljem svijeta. Također nije tajna da stanovnici pokušavaju pobjeći iz zemlje riskirajući svoje živote. Međutim, nakon bijega, ipak bi mogli biti otkriveni i praćeni, kako su otkrili sigurnosni stručnjaci iz McAfeea[1] novi niz napada zlonamjernog softvera koji ciljaju sjevernokorejske prebjege.

Zlonamjerni softver, nazvan RedDawn, pronašli su stručnjaci za sigurnost u tri različite aplikacije na Google Play Storeu. Ako se izvrši i instalira na Android uređaju, može ukrasti značajnu količinu osobnih podataka informacije, kao što su popis kontakata, poruke, fotografije, telefonski brojevi, informacije na društvenim mrežama i slični podaci. Kasnije se može koristiti za prijetnje žrtvama.

Ove zaražene aplikacije mogu se besplatno preuzeti s njihovih službenih stranica i drugih izvora. Međutim, hakerska grupa pod nazivom Sun Team oslanjala se na drugu metodu – Facebookov Messenger. Koristili su ga za komunikaciju sa žrtvama i pozivali ih da preuzmu virus koristeći phishing poruke. Lažni računi koje su kreirali hakeri koriste ukradene fotografije Južnokorejaca s društvenih mreža, a dosta je pojedinaca prijavilo prijevaru identiteta.

[2]

Kao što je očito, cyber lopovi su širili zlonamjerni softver koristeći Messenger[3] već neko vrijeme i ne čini se da će ovakvi napadi uskoro prestati. Od otkrića, Google je uklonio sve zlonamjerne aplikacije.

Zlonamjerne aplikacije, srećom, nisu preuzeli mnogi

Ove tri aplikacije koje je sigurnosni tim iz McAfeea otkrio kao zlonamjerne su:

  • 음식궁합 (Informacije o sastojcima hrane)
  • Brzi AppLock
  • AppLockFree

Dok se prva aplikacija fokusirala na pripremu hrane, druge dvije su bile povezane s internetskom sigurnošću (ironično). Bez obzira na sadržaj aplikacije, čini se da je Sun Team pokušao privući više ljudi.

Infekcije se odvijaju u više faza, jer prve dvije aplikacije dobivaju naredbe, zajedno s .dex izvršnom datotekom s udaljenog poslužitelja u oblaku. Vjeruje se da se, za razliku od prve dvije aplikacije, AppLockFree koristi za fazu nadzora infekcije. Unatoč tome, nakon što se učitavanje izvrši, zlonamjerni softver može prikupiti potrebne informacije o korisnicima i poslati ih Sun Teamu koristeći usluge Dropbox i Yandex u oblaku.

Stručnjaci za sigurnost uspjeli su uhvatiti zlonamjerni softver u ranim fazama, što znači da se nije široko proširio. Ipak, smatra se da se oko 100 infekcija dogodilo prije nego što je Google uklonio zlonamjerne aplikacije iz njihove trgovine.

Prethodni napadi Sun Teama također su bili usmjereni na korejske prebjege

RedDawn nije prvi napad zlonamjernog softvera koji je izveo Sun Team. Sigurnosni istraživači objavili su izvješće u siječnju 2018. o još jednom nizu napada zlonamjernog softvera koji su ciljali korejske prebjege i novinare koristeći Kakao Talk[4] i drugim društvenim mrežama tijekom 2017. Prošlo je dva mjeseca prije nego što je Google uočio i uklonio zlonamjerne aplikacije.

Sigurnosni istraživači mogli bi pouzdano povezati ove napade sa Sjevernokorejcima na temelju činjenice da su na kontrolnom poslužitelju zlonamjernog softvera pronašli neke riječi koje nisu porijeklom iz Južne Koreje. Osim toga, IP adresa je upućivala i na Sjevernu Koreju.

Prema istraživanju, oko 30.000 ljudi iz Sjeverne Koreje pobjeglo je na jug, a više od 1000 pokušava pobjeći od režima svake godine. Iako je Kim Jong Un nedavno razgovarao s američkim i južnokorejskim čelnicima o okončanju 60-godišnjeg rata,[5] ovakvi napadi dokazuju koliko su stavovi sjevernokorejskih čelnika zapravo opresivni.