Os autores do RedDawn têm como alvo as vítimas norte-coreanas usando o Messenger
A Coreia do Norte é conhecida por seu regime totalitário em todo o mundo. Também não é segredo que os moradores estão tentando fugir do país arriscando suas vidas. Após a fuga, no entanto, eles ainda podem ser detectados e rastreados, como os especialistas em segurança da McAfee descobriram[1] uma nova série de ataques de malware que visam desertores norte-coreanos.
O malware, apelidado de RedDawn, foi encontrado por especialistas em segurança em três aplicativos diferentes na Google Play Store. Se executado e instalado no dispositivo Android, pode roubar uma quantidade significativa de dados pessoais informações, como lista de contatos, mensagens, fotos, números de telefone, informações de mídia social e dados semelhantes. Mais tarde, pode ser usado para ameaçar vítimas.
Esses aplicativos infectados podem ser baixados gratuitamente de seus sites oficiais e outros recursos. No entanto, o grupo de hackers chamado Sun Team tem contado com outro método - o Messenger do Facebook. Eles o usaram para se comunicar com as vítimas e incentivá-las a baixar o vírus por meio de mensagens de phishing. As contas falsas criadas por hackers usam fotos roubadas de redes sociais de sul-coreanos, e alguns indivíduos relataram fraude de identidade.
[2]Como é evidente, os cibercriminosos têm espalhado malware usando o Messenger[3] por um tempo, e não parece que esse tipo de ataque vai parar tão cedo. Desde a descoberta, todos os aplicativos maliciosos foram retirados do ar pelo Google.
Aplicativos maliciosos, felizmente, não foram baixados por muitos
Esses três aplicativos descobertos pela equipe de segurança da McAfee como maliciosos são:
- 음식 궁합 (Informações sobre ingredientes alimentares)
- AppLock rápido
- AppLockFree
Enquanto o primeiro aplicativo focava no preparo de alimentos, outros dois estavam conectados à segurança online (ironicamente). Independentemente do conteúdo do aplicativo, parece que a equipe Sun tentou atrair várias pessoas.
As infecções são multi-estágios, conforme os primeiros dois aplicativos recebem comandos, junto com um executável .dex de um servidor de nuvem remoto. Acredita-se que, ao contrário dos dois primeiros aplicativos, o AppLockFree é usado para o estágio de vigilância da infecção. No entanto, uma vez que a carga útil é executada, o malware pode coletar as informações necessárias sobre os usuários e enviá-las para a Sun Team usando os serviços baseados em nuvem do Dropbox e Yandex.
Os especialistas em segurança conseguiram detectar o malware nos estágios iniciais, o que significa que ele não se espalhou amplamente. No entanto, percebe-se que cerca de 100 infecções ocorreram antes de o Google retirar os aplicativos maliciosos de sua loja.
Ataques anteriores da equipe Sun também tinham como alvo os desertores coreanos
RedDawn não é o primeiro ataque de malware realizado pela Sun Team. Pesquisadores de segurança publicaram um relatório em janeiro de 2018 sobre outra série de ataques de malware que visavam desertores e jornalistas coreanos usando o Kakao Talk[4] e outras redes sociais durante 2017. Demorou dois meses antes que aplicativos maliciosos fossem detectados e removidos pelo Google.
Os pesquisadores de segurança puderam associar com segurança esses ataques aos norte-coreanos com base no fato de que encontraram algumas palavras no servidor de controle de malware que não são nativas da Coreia do Sul. Além disso, o endereço IP também apontava para a Coreia do Norte.
De acordo com a pesquisa, cerca de 30.000 norte-coreanos fugiram para o Sul e mais de 1.000 tentam escapar do regime todos os anos. Embora Kim Jong Un recentemente tenha conversado com líderes americanos e sul-coreanos sobre o fim de uma guerra de 60 anos,[5] ataques como esses provam o quão opressivas as opiniões dos líderes norte-coreanos realmente são.