Авторы RedDawn нацелены на жертв из Северной Кореи с помощью Messenger
Северная Корея известна во всем мире своим тоталитарным режимом. Также не секрет, что жители пытаются бежать из страны, рискуя жизнью. Однако после побега они все еще могут быть обнаружены и отслежены, как обнаружили эксперты по безопасности из McAfee.[1] новая серия вредоносных атак, нацеленных на перебежчиков из Северной Кореи.
Вредоносное ПО, получившее название RedDawn, было обнаружено специалистами по безопасности в трех разных приложениях в Google Play Store. Если он запущен и установлен на устройстве Android, он может украсть значительный объем личных данных. информация, такая как список контактов, сообщения, фотографии, номера телефонов, информация в социальных сетях и аналогичные данные. Позже его можно использовать для угроз жертвам.
Эти зараженные приложения можно бесплатно скачать с их официальных сайтов и других ресурсов. Однако хакерская группа Sun Team полагается на другой метод - Messenger от Facebook. Они использовали его, чтобы общаться с жертвами и побуждать их загрузить вирус с помощью фишинговых сообщений. В фальшивых аккаунтах, созданных хакерами, используются украденные в социальных сетях фотографии южнокорейцев, и довольно много людей заявили о подделке личных данных.
[2]Очевидно, что киберпреступники распространяли вредоносное ПО с помощью Messenger.[3] какое-то время, и не похоже, что подобные атаки прекратятся в ближайшее время. С момента обнаружения все вредоносные приложения были удалены Google.
Вредоносные программы, к счастью, не многие скачивали.
Эти три приложения, обнаруженные командой безопасности McAfee как вредоносные:
- 음식 궁합 (Информация о пищевых ингредиентах)
- Быстрая блокировка приложений
- AppLockFree
В то время как первое приложение было сосредоточено на приготовлении пищи, два других были связаны с онлайн-безопасностью (по иронии судьбы). Независимо от содержания приложения, похоже, что Sun Team пыталась обратиться к нескольким людям.
Заражение является многоэтапным, поскольку первые два приложения получают команды вместе с исполняемым файлом .dex с удаленного облачного сервера. Считается, что, в отличие от первых двух приложений, AppLockFree используется для наблюдения за стадией заражения. Тем не менее, после выполнения полезной нагрузки вредоносное ПО может собирать необходимую информацию о пользователях и отправлять ее в Sun Team с помощью облачных сервисов Dropbox и Яндекс.
Специалистам по безопасности удалось обнаружить вредоносное ПО на ранних этапах, а это значит, что оно не получило широкого распространения. Тем не менее считается, что до того, как Google удалил вредоносные приложения из своего магазина, произошло около 100 заражений.
Предыдущие атаки Sun Team также были нацелены на корейских перебежчиков.
RedDawn - не первая вредоносная атака, осуществленная Sun Team. В январе 2018 года исследователи безопасности опубликовали отчет об очередной серии атак вредоносного ПО, нацеленных на корейских перебежчиков и журналистов, использующих Kakao Talk.[4] и другие социальные сети в течение 2017 года. Прошло два месяца, прежде чем вредоносные приложения были обнаружены и удалены Google.
Исследователи безопасности могут с уверенностью связать эти атаки с северокорейцами, основываясь на том факте, что они нашли на сервере управления вредоносным ПО некоторые слова, которые не являются родными для Южной Кореи. Кроме того, IP-адрес также указывал на Северную Корею.
Согласно исследованиям, ежегодно около 30 000 жителей Северной Кореи бежали на юг и более 1000 пытались бежать от режима. Хотя Ким Чен Ын недавно разговаривал с лидерами Америки и Южной Кореи о прекращении 60-летней войны,[5] Подобные атаки доказывают, насколько деспотичны взгляды северокорейских лидеров.