Autorii RedDawn vizează victimele nord-coreene folosind Messenger
Coreea de Nord este cunoscută pentru regimul său totalitar în întreaga lume. De asemenea, nu este un secret faptul că locuitorii încearcă să fugă din țară în timp ce își riscă viața. După evadare, totuși, aceștia ar putea fi încă detectați și urmăriți, după cum au descoperit experții în securitate de la McAfee[1] un nou șir de atacuri malware care vizează dezertorii nord-coreeni.
Malware-ul, numit RedDawn, a fost găsit de specialiștii în securitate în trei aplicații diferite de pe Google Play Store. Dacă este executat și instalat pe un dispozitiv Android, poate fura o cantitate semnificativă de bani informații, cum ar fi lista de contacte, mesaje, fotografii, numere de telefon, informații despre rețelele sociale și date similare. Mai târziu, poate fi folosit pentru a amenința victimele.
Aceste aplicații infectate pot fi descărcate gratuit de pe site-urile lor oficiale și din alte resurse. Cu toate acestea, grupul de hackeri numit Sun Team s-a bazat pe o altă metodă – Facebook Messenger. L-au folosit pentru a comunica cu victimele și le îndemna să descarce virusul folosind mesaje de phishing. Conturile false create de hackeri folosesc fotografii furate de pe rețelele sociale ale sud-coreenilor și destul de multe persoane au raportat fraude de identitate.
[2]După cum este evident, infractorii cibernetici au răspândit malware folosind Messenger[3] de ceva vreme și nu se pare că acest tip de atacuri se vor opri prea curând. De la descoperire, toate aplicațiile rău intenționate au fost eliminate de Google.
Aplicațiile rău intenționate, din fericire, nu au fost descărcate de mulți
Aceste trei aplicații descoperite de echipa de securitate de la McAfee ca fiind rău intenționate sunt:
- 음식궁합 (Informații despre ingredientele alimentare)
- Blocare rapidă a aplicațiilor
- AppLockFree
În timp ce prima aplicație s-a concentrat pe prepararea mâncării, celelalte două au fost conectate la securitatea online (ironic). Indiferent de conținutul aplicației, se pare că echipa Sun a încercat să atragă mai multe persoane.
Infecțiile sunt în mai multe etape, deoarece primele două aplicații primesc comenzi, împreună cu un executabil .dex de la un server cloud la distanță. Se crede că, spre deosebire de primele două aplicații, AppLockFree este folosit pentru etapa de supraveghere a infecției. Cu toate acestea, odată ce încărcarea utilă este executată, malware-ul poate colecta informațiile necesare despre utilizatori și le poate trimite echipei Sun utilizând serviciile Dropbox și Yandex bazate pe cloud.
Experții în securitate au reușit să prindă malware în stadii incipiente, ceea ce înseamnă că nu s-a răspândit pe scară largă. Cu toate acestea, se percepe că aproximativ 100 de infecții au avut loc înainte ca Google să scoată aplicațiile rău intenționate din magazinul lor.
Atacurile anterioare ale echipei Sun au vizat și dezertorii coreeni
RedDawn nu este primul atac malware efectuat de Sun Team. Cercetătorii în domeniul securității au publicat un raport în ianuarie 2018 despre un alt șir de atacuri malware care au vizat dezertorii coreeni și jurnaliştii care foloseau Kakao Talk[4] și alte rețele sociale pe parcursul anului 2017. A durat două luni până când aplicațiile rău intenționate au fost identificate și eliminate de Google.
Cercetătorii de securitate ar putea lega cu încredere aceste atacuri de nord-coreeni pe baza faptului că au găsit câteva cuvinte pe serverul de control al malware-ului care nu sunt originare din Coreea de Sud. În plus, adresa IP a indicat și Coreea de Nord.
Potrivit cercetărilor, aproximativ 30.000 de nord-coreeni au fugit în Sud și peste 1000 încearcă să scape de regim în fiecare an. Deși Kim Jong Un a vorbit recent cu liderii americani și sud-coreeni despre încheierea unui război vechi de 60 de ani,[5] astfel de atacuri demonstrează cât de opresive sunt cu adevărat opiniile liderilor nord-coreeni.