Gli autori di RedDawn prendono di mira le vittime della Corea del Nord usando Messenger
La Corea del Nord è nota per il suo regime totalitario in tutto il mondo. Non è nemmeno un segreto che i residenti stiano cercando di fuggire dal paese rischiando la vita. Dopo la fuga, tuttavia, potrebbero essere ancora rilevati e tracciati, come hanno scoperto gli esperti di sicurezza di McAfee[1] una nuova serie di attacchi malware che prendono di mira i disertori nordcoreani.
Il malware, soprannominato RedDawn, è stato trovato da specialisti della sicurezza in tre diverse app su Google Play Store. Se eseguito e installato su un dispositivo Android, può rubare una quantità significativa di dati personali informazioni, come elenco contatti, messaggi, foto, numeri di telefono, informazioni sui social media e dati simili. In seguito, può essere utilizzato per minacciare le vittime.
Queste app infette possono essere scaricate gratuitamente dai loro siti ufficiali e da altre risorse. Tuttavia, il gruppo di hacker chiamato Sun Team si è affidato a un altro metodo: Messenger di Facebook. Lo usavano per comunicare con le vittime e invitarle a scaricare il virus utilizzando messaggi di phishing. Gli account falsi creati dagli hacker utilizzano foto dei social network rubate di sudcoreani e alcune persone hanno segnalato la frode di identità.
[2]Come evidente, i criminali informatici hanno diffuso malware utilizzando Messenger[3] da un po' di tempo e non sembra che questo tipo di attacchi si fermerà presto. Dalla scoperta, tutte le app dannose sono state rimosse da Google.
Le app dannose, fortunatamente, non sono state scaricate da molti
Queste tre app scoperte dal team di sicurezza di McAfee come dannose sono:
- 음식궁합 (Informazioni sugli ingredienti alimentari)
- Blocco rapido dell'app
- Blocco app gratuito
Mentre la prima app si concentrava sulla preparazione del cibo, altre due erano collegate alla sicurezza online (ironicamente). Indipendentemente dal contenuto dell'app, sembra che il Sun Team abbia cercato di attirare più persone.
Le infezioni sono in più fasi, poiché le prime due app ricevono comandi, insieme a un eseguibile .dex da un server cloud remoto. Si ritiene che, a differenza delle prime due app, AppLockFree venga utilizzato per la fase di sorveglianza dell'infezione. Tuttavia, una volta eseguito il payload, il malware può raccogliere le informazioni necessarie sugli utenti e inviarle a Sun Team utilizzando Dropbox e i servizi basati su cloud Yandex.
Gli esperti di sicurezza sono riusciti a rilevare il malware nelle prime fasi, il che significa che non si è diffuso ampiamente. Tuttavia, si percepisce che si sono verificate circa 100 infezioni prima che Google rimuovesse le app dannose dal proprio negozio.
I precedenti attacchi del Sun Team avevano preso di mira anche i disertori coreani
RedDawn non è il primo attacco malware effettuato da Sun Team. I ricercatori di sicurezza hanno pubblicato un rapporto nel gennaio 2018 su un'altra serie di attacchi malware che hanno preso di mira disertori e giornalisti coreani utilizzando Kakao Talk[4] e altri social network nel corso del 2017. Ci sono voluti due mesi prima che le app dannose venissero individuate e rimosse da Google.
I ricercatori di sicurezza potrebbero collegare con sicurezza questi attacchi ai nordcoreani in base al fatto che hanno trovato alcune parole sul server di controllo del malware che non sono originarie della Corea del Sud. Inoltre, l'indirizzo IP indicava anche la Corea del Nord.
Secondo una ricerca, circa 30mila nordcoreani sono fuggiti nel sud e più di 1000 cercano di sfuggire al regime ogni anno. Sebbene Kim Jong Un di recente abbia parlato con i leader americani e sudcoreani della fine di una guerra vecchia di 60 anni,[5] attacchi come questi dimostrano quanto siano veramente oppressive le opinioni dei leader nordcoreani.