אפליקציות Google Play הנגועות מכוונות לעריקים מצפון קוריאה

MiscellaneaDec 20, 2021
click fraud protection

מחברי RedDawn מכוונים לקורבנות צפון קוריאנים באמצעות Messenger

צפון קוריאנים משתמשים בתוכנה זדונית שהועלתה בחנות Play כדי לעקוב אחר פליטים

צפון קוריאה ידועה במשטר הטוטליטרי שלה ברחבי העולם. זה גם לא סוד שתושבים מנסים לברוח מהארץ תוך סיכון חייהם. עם זאת, לאחר הבריחה, הם עדיין עשויים להיות מזוהים ומעקב, כפי שגילו מומחי אבטחה מ-McAfee[1] שורה חדשה של התקפות תוכנות זדוניות המכוונות לעריקים מצפון קוריאה.

התוכנה הזדונית, המכונה RedDawn, נמצאה על ידי מומחי אבטחה בשלוש אפליקציות שונות בחנות Google Play. אם הוא מבוצע ומותקן על מכשיר אנדרואיד, זה יכול לגנוב כמות משמעותית של אישי מידע, כגון רשימת אנשי קשר, הודעות, תמונות, מספרי טלפון, מידע על מדיה חברתית ו נתונים דומים. בהמשך, ניתן להשתמש בו כדי לאיים על קורבנות.

ניתן להוריד את האפליקציות הנגועות הללו באופן חופשי מהאתרים הרשמיים שלהן ומשאבים אחרים. עם זאת, קבוצת ההאקרים בשם Sun Team הסתמכה על שיטה אחרת - המסנג'ר של פייסבוק. הם השתמשו בו כדי לתקשר עם קורבנות ולהאיץ בהם להוריד את הנגיף באמצעות הודעות דיוג. החשבונות המזויפים שנוצרו על ידי האקרים משתמשים בתמונות רשת חברתיות גנובות של דרום קוריאנים, ולא מעט אנשים דיווחו על הונאת זהות.[2]

כפי שניתן לראות, נוכלי סייבר הפיצו תוכנות זדוניות באמצעות Messenger[3] כבר זמן מה, ולא נראה שהתקפות מסוג זה עומדות להיפסק בקרוב. מאז הגילוי, כל האפליקציות הזדוניות הוסרו על ידי גוגל.

אפליקציות זדוניות, למרבה המזל, לא הורדו על ידי רבים

שלושת האפליקציות הללו שהתגלו על ידי צוות האבטחה של McAfee כזדוניות הן:

  • 음식궁합 (מידע על מרכיבי מזון)
  • AppLock מהיר
  • AppLockFree

בעוד שהאפליקציה הראשונה התמקדה בהכנת מזון, שתיים אחרות התחברו לאבטחה המקוונת (באופן אירוני). ללא קשר לתוכן האפליקציה, נראה שצוות Sun ניסה לפנות למספר אנשים.

ההדבקות הן רב-שלביות, מכיוון ששתי האפליקציות הראשונות מקבלות פקודות, יחד עם קובץ הפעלה .dex משרת ענן מרוחק. מאמינים שבניגוד לשתי האפליקציות הראשונות, AppLockFree משמש לשלב המעקב של ההדבקה. עם זאת, לאחר ביצוע המטען, תוכנות זדוניות יכולות לאסוף את המידע הדרוש על המשתמשים ולשלוח אותו ל-Sun Team באמצעות שירותי Dropbox ו-Yandex מבוססי ענן.

מומחי אבטחה הצליחו לתפוס תוכנות זדוניות בשלבים מוקדמים, כלומר היא לא התפשטה באופן נרחב. עם זאת, נראה כי כ-100 זיהומים התרחשו לפני שגוגל הסירה את האפליקציות הזדוניות מהחנות שלה.

התקפות קודמות של Sun Team כוונו גם לעריקים קוריאנים

RedDawn היא לא מתקפת התוכנה הזדונית הראשונה שבוצעה על ידי Sun Team. חוקרי אבטחה פרסמו דוח בינואר 2018 על שורה נוספת של התקפות תוכנות זדוניות שכוונו לעריקים ועיתונאים קוריאנים באמצעות Kakao Talk[4] ורשתות חברתיות אחרות במהלך 2017. חלפו חודשיים עד שגוגל זיהתה והוסרה אפליקציות זדוניות.

חוקרי אבטחה יכלו לקשר בביטחון את ההתקפות הללו לצפון קוריאנים בהתבסס על העובדה שהם מצאו כמה מילים בשרת הבקרה של תוכנות זדוניות שאינן מקוריות בדרום קוריאה. חוץ מזה, כתובת ה-IP הפנתה גם לצפון קוריאה.

על פי מחקר, כ-30,000 צפון קוריאנים נמלטו לדרום ויותר מ-1,000 מנסים להימלט מהמשטר מדי שנה. למרות שקים ג'ונג און שוחח לאחרונה עם מנהיגים אמריקאים ודרום קוריאה על סיום מלחמה בת 60 שנה,[5] התקפות כמו אלה מוכיחות עד כמה הדעות של מנהיגי צפון קוריאה באמת מדכאות.