RedDawn-auteurs richten zich op Noord-Koreaanse slachtoffers met Messenger
Noord-Korea staat wereldwijd bekend om zijn totalitaire regime. Het is ook geen geheim dat inwoners met gevaar voor eigen leven het land proberen te ontvluchten. Na de ontsnapping kunnen ze echter nog steeds worden gedetecteerd en gevolgd, zoals beveiligingsexperts van McAfee ontdekten[1] een nieuwe reeks malware-aanvallen die gericht zijn op Noord-Koreaanse overlopers.
De malware, genaamd RedDawn, werd door beveiligingsspecialisten gevonden in drie verschillende apps in de Google Play Store. Als het wordt uitgevoerd en geïnstalleerd op een Android-apparaat, kan het een aanzienlijke hoeveelheid persoonlijke gegevens stelen informatie, zoals contactenlijst, berichten, foto's, telefoonnummers, sociale media-informatie en vergelijkbare gegevens. Later kan het worden gebruikt om slachtoffers te bedreigen.
Deze geïnfecteerde apps kunnen gratis worden gedownload van hun officiële sites en andere bronnen. De hackergroep genaamd Sun Team vertrouwt echter op een andere methode: Facebook's Messenger. Ze gebruikten het om met slachtoffers te communiceren en hen aan te sporen het virus te downloaden met behulp van phishing-berichten. De nepaccounts die door hackers zijn aangemaakt, maken gebruik van gestolen sociale netwerkfoto's van Zuid-Koreanen, en nogal wat individuen hebben identiteitsfraude gemeld.
[2]Zoals duidelijk is, hebben cybercriminelen malware verspreid met Messenger[3] al een tijdje, en het lijkt er niet op dat dit soort aanvallen snel zal stoppen. Sinds de ontdekking zijn alle schadelijke apps door Google verwijderd.
Schadelijke apps zijn gelukkig nog niet door velen gedownload
Deze drie apps die door het beveiligingsteam van McAfee als kwaadaardig zijn ontdekt, zijn:
- 음식궁합 (Informatie over voedselingrediënten)
- Snelle AppLock
- AppLockGratis
Terwijl de eerste app zich richtte op voedselbereiding, waren de andere twee (ironisch genoeg) verbonden met de online beveiliging. Ongeacht de app-inhoud, lijkt het erop dat het Sun Team meerdere mensen probeerde aan te spreken.
Infecties zijn in meerdere fasen uitgevoerd, aangezien de eerste twee apps opdrachten krijgen, samen met een .dex-uitvoerbaar bestand van een externe cloudserver. Er wordt aangenomen dat, in tegenstelling tot de eerste twee apps, AppLockFree wordt gebruikt voor de bewakingsfase van de infectie. Desalniettemin kan malware, zodra de payload is uitgevoerd, de benodigde informatie over gebruikers verzamelen en naar Sun Team sturen met behulp van Dropbox- en Yandex-cloudservices.
Beveiligingsexperts slaagden erin malware in een vroeg stadium te vangen, wat betekent dat het zich niet wijd verspreidde. Niettemin wordt aangenomen dat er ongeveer 100 infecties plaatsvonden voordat Google de kwaadaardige apps uit hun winkel haalde.
Eerdere aanvallen van Sun Team waren ook gericht op Koreaanse overlopers
RedDawn is niet de eerste malware-aanval die door Sun Team wordt uitgevoerd. Beveiligingsonderzoekers publiceerden in januari 2018 een rapport over een nieuwe reeks malware-aanvallen die gericht waren op Koreaanse overlopers en journalisten die Kakao Talk. gebruikten[4] en andere sociale netwerken in 2017. Het duurde twee maanden voordat kwaadaardige apps werden opgemerkt en verwijderd door Google.
Beveiligingsonderzoekers konden deze aanvallen met vertrouwen in verband brengen met Noord-Koreanen op basis van het feit dat ze enkele woorden op de controleserver van malware hebben gevonden die niet afkomstig zijn uit Zuid-Korea. Bovendien wees het IP-adres ook naar Noord-Korea.
Volgens onderzoek vluchtten zo'n 30.000 Noord-Koreanen naar het zuiden en proberen er elk jaar meer dan 1000 te ontsnappen aan het regime. Hoewel Kim Jong Un onlangs met Amerikaanse en Zuid-Koreaanse leiders sprak over het beëindigen van een 60 jaar oude oorlog,[5] aanvallen als deze bewijzen hoe onderdrukkend de opvattingen van de Noord-Koreaanse leiders werkelijk zijn.