Infiserte Google Play-apper retter seg mot nordkoreanske avhoppere

RedDawn-forfattere retter seg mot nordkoreanske ofre ved å bruke Messenger

Nordkoreanere bruker skadelig programvare lastet opp på Play Store for å spore flyktninger

Nord-Korea er kjent for sitt totalitære regime over hele verden. Det er heller ingen hemmelighet at innbyggere prøver å rømme landet mens de risikerer livet. Etter flukten kan de imidlertid fortsatt bli oppdaget og sporet, slik sikkerhetseksperter fra McAfee oppdaget[1] en ny rekke malware-angrep som er rettet mot nordkoreanske avhoppere.

Skadevaren, kalt RedDawn, ble funnet av sikkerhetsspesialister i tre forskjellige apper på Google Play Store. Hvis den kjøres og installeres på Android-enhet, kan den stjele en betydelig mengde personlig informasjon, som kontaktliste, meldinger, bilder, telefonnumre, informasjon om sosiale medier og lignende data. Senere kan den brukes til å true ofre.

Disse infiserte appene kan fritt lastes ned fra deres offisielle nettsteder og andre ressurser. Imidlertid har hackergruppen kalt Sun Team vært avhengig av en annen metode – Facebooks Messenger. De brukte den til å kommunisere med ofre og oppfordre dem til å laste ned viruset ved hjelp av phishing-meldinger. De falske kontoene opprettet av hackere bruker stjålne sosiale nettverksbilder av sørkoreanere, og ganske mange individer rapporterte identitetssvindel.

[2]

Som det er klart, har cybercrooks spredt skadelig programvare ved hjelp av Messenger[3] en stund nå, og det ser ikke ut til at denne typen angrep kommer til å stoppe med det første. Siden oppdagelsen ble alle skadelige apper fjernet av Google.

Ondsinnede apper har heldigvis ikke blitt lastet ned av mange

Disse tre appene oppdaget av sikkerhetsteamet fra McAfee som skadelige er:

  • 음식궁합 (Info om matingredienser)
  • Rask AppLock
  • AppLockFree

Mens den første appen fokuserte på matlaging, var to andre koblet til nettsikkerheten (ironisk nok). Uavhengig av appinnholdet, ser det ut til at Sun Team prøvde å appellere til flere personer.

Infeksjoner er flertrinns, ettersom de to første appene får kommandoer, sammen med en .dex-kjørbar fil fra en ekstern skyserver. Det antas at, i motsetning til de to første appene, brukes AppLockFree til overvåkingsstadiet av infeksjonen. Likevel, når nyttelasten er utført, kan skadelig programvare hente den nødvendige informasjonen om brukere og sende den til Sun Team ved hjelp av Dropbox og Yandex skybaserte tjenester.

Sikkerhetseksperter klarte å fange opp skadelig programvare i tidlige stadier, noe som betyr at den ikke spredte seg mye. Likevel oppfattes det at rundt 100 infeksjoner fant sted før Google tok av de ondsinnede appene fra butikken deres.

Tidligere angrep fra Sun Team hadde også vært rettet mot koreanske avhoppere

RedDawn er ikke det første malware-angrepet utført av Sun Team. Sikkerhetsforskere publiserte en rapport i januar 2018 om en annen rekke malware-angrep som var rettet mot koreanske avhoppere og journalister som brukte Kakao Talk[4] og andre sosiale nettverk i løpet av 2017. Det tok to måneder før ondsinnede apper ble oppdaget og fjernet av Google.

Sikkerhetsforskere kunne trygt koble disse angrepene til nordkoreanere basert på det faktum at de fant noen ord på malwares kontrollserver som ikke er hjemmehørende i Sør-Korea. Dessuten pekte IP-adressen også til Nord-Korea.

Ifølge forskning flyktet rundt 30 000 nordkoreanere til sør og mer enn 1000 prøver å rømme regimet hvert år. Selv om Kim Jong Un nylig snakket med amerikanske og sørkoreanske ledere om å få slutt på en 60 år gammel krig,[5] angrep som disse beviser hvor undertrykkende synspunktene til nordkoreanske ledere egentlig er.