Zainfekowane aplikacje Google Play atakują uciekinierów z Korei Północnej

Autorzy RedDawn atakują ofiary z Korei Północnej za pomocą Messengera

Koreańczycy z północy używają złośliwego oprogramowania przesłanego do Sklepu Play do śledzenia uchodźców

Korea Północna jest znana ze swojego totalitarnego reżimu na całym świecie. Nie jest też tajemnicą, że mieszkańcy z narażeniem życia próbują uciec z kraju. Jednak po ucieczce mogą być nadal wykrywani i śledzeni, jak odkryli eksperci ds. bezpieczeństwa z firmy McAfee[1] nowy ciąg ataków złośliwego oprogramowania, których celem są uciekinierzy z Korei Północnej.

Szkodnik, nazwany RedDawn, został znaleziony przez specjalistów ds. bezpieczeństwa w trzech różnych aplikacjach w sklepie Google Play. Jeśli zostanie uruchomiony i zainstalowany na urządzeniu z Androidem, może ukraść znaczną ilość danych osobistych informacje, takie jak lista kontaktów, wiadomości, zdjęcia, numery telefonów, informacje z mediów społecznościowych i podobne dane. Później może służyć do grożenia ofiarom.

Te zainfekowane aplikacje można bezpłatnie pobrać z ich oficjalnych witryn i innych zasobów. Jednak grupa hakerów o nazwie Sun Team polegała na innej metodzie – Messengerze Facebooka. Używali go do komunikowania się z ofiarami i zachęcania ich do pobrania wirusa za pomocą wiadomości phishingowych. Fałszywe konta utworzone przez hakerów wykorzystują skradzione zdjęcia Koreańczyków z portali społecznościowych, a sporo osób zgłosiło oszustwa związane z tożsamością.

[2]

Jak widać, cyberprzestępcy rozprzestrzeniają złośliwe oprogramowanie za pomocą Messengera[3] od jakiegoś czasu i nie wydaje się, aby tego typu ataki miały się w najbliższym czasie zakończyć. Od czasu odkrycia wszystkie złośliwe aplikacje zostały usunięte przez Google.

Złośliwe aplikacje, na szczęście, nie zostały pobrane przez wielu

Te trzy aplikacje wykryte przez zespół ds. bezpieczeństwa firmy McAfee jako złośliwe to:

  • 음식궁합 (Informacje o składnikach żywności)
  • Szybka blokada aplikacji
  • AppLockFree

Podczas gdy pierwsza aplikacja koncentrowała się na przygotowywaniu jedzenia, pozostałe dwie były połączone z bezpieczeństwem online (jak na ironię). Bez względu na zawartość aplikacji wygląda na to, że zespół Sun próbował dotrzeć do wielu osób.

Infekcje są wieloetapowe, ponieważ dwie pierwsze aplikacje otrzymują polecenia wraz z plikiem .dex wykonywalnym ze zdalnego serwera w chmurze. Uważa się, że w przeciwieństwie do dwóch pierwszych aplikacji, AppLockFree służy do monitorowania stanu infekcji. Niemniej jednak, gdy ładunek zostanie uruchomiony, złośliwe oprogramowanie może zebrać potrzebne informacje o użytkownikach i wysłać je do zespołu Sun za pomocą usług w chmurze Dropbox i Yandex.

Eksperci ds. bezpieczeństwa zdołali złapać złośliwe oprogramowanie na wczesnych etapach, co oznacza, że ​​nie rozprzestrzeniło się ono szeroko. Niemniej jednak uważa się, że około 100 infekcji miało miejsce, zanim Google usunęło złośliwe aplikacje ze swojego sklepu.

Poprzednie ataki Sun Team były również wymierzone w koreańskich uciekinierów

RedDawn nie jest pierwszym atakiem złośliwego oprogramowania przeprowadzonym przez Sun Team. Badacze bezpieczeństwa opublikowali w styczniu 2018 r. raport o kolejnym szeregu ataków złośliwego oprogramowania, których celem byli koreańscy uciekinierzy i dziennikarze za pomocą Kakao Talk[4] i inne sieci społecznościowe w 2017 roku. Minęły dwa miesiące, zanim złośliwe aplikacje zostały wykryte i usunięte przez Google.

Badacze bezpieczeństwa mogli śmiało powiązać te ataki z atakami z Korei Północnej, ponieważ znaleźli na serwerze kontrolnym szkodliwego oprogramowania słowa, które nie pochodzą z Korei Południowej. Poza tym adres IP wskazywał również na Koreę Północną.

Według badań około 30 000 mieszkańców Korei Północnej uciekło na południe, a ponad 1000 co roku próbuje uciec przed reżimem. Chociaż Kim Dzong Un ostatnio rozmawiał z przywódcami amerykańskimi i południowokoreańskimi o zakończeniu 60-letniej wojny,[5] ataki takie jak te udowadniają, jak opresyjne są poglądy przywódców Korei Północnej.