Autori RedDawn sa zameriavajú na severokórejské obete pomocou Messengera
Severná Kórea je známa svojím totalitným režimom po celom svete. Nie je tajomstvom ani to, že obyvatelia sa snažia utiecť z krajiny, pričom riskujú svoje životy. Po úteku ich však stále môžu odhaliť a sledovať, ako zistili bezpečnostní experti z McAfee[1] nový reťazec malvérových útokov zameraných na severokórejských prebehlíkov.
Škodlivý softvér s názvom RedDawn našli bezpečnostní špecialisti v troch rôznych aplikáciách v obchode Google Play. Ak sa spustí a nainštaluje na zariadenie so systémom Android, môže ukradnúť značné množstvo osobných údajov informácie, ako je zoznam kontaktov, správy, fotografie, telefónne čísla, informácie zo sociálnych médií a podobné údaje. Neskôr sa môže použiť na vyhrážanie sa obetiam.
Tieto infikované aplikácie je možné voľne stiahnuť z ich oficiálnych stránok a iných zdrojov. Hackerská skupina Sun Team sa však spolieha na inú metódu – Facebook Messenger. Používali ho na komunikáciu s obeťami a nabádali ich, aby si stiahli vírus pomocou phishingových správ. Falošné účty vytvorené hackermi používajú ukradnuté fotografie Juhokórejčanov zo sociálnych sietí a niekoľko jednotlivcov nahlásilo podvody s identitou.
[2]Ako je zrejmé, kybernetický podvodníci šírili malvér pomocou aplikácie Messenger[3] už chvíľu a nezdá sa, že by sa tento typ útokov v dohľadnej dobe zastavil. Od objavenia boli všetky škodlivé aplikácie odstránené spoločnosťou Google.
Škodlivé aplikácie si našťastie mnohí nestiahli
Tieto tri aplikácie, ktoré bezpečnostný tím McAfee objavil ako škodlivé, sú:
- 음식궁합 (Informácie o zložkách potravín)
- Rýchly AppLock
- AppLockFree
Kým prvá aplikácia bola zameraná na prípravu jedla, ďalšie dve boli spojené s online bezpečnosťou (iróniou osudu). Bez ohľadu na obsah aplikácie sa zdá, že tím Sun sa snažil osloviť viacerých ľudí.
Infekcie sú viacstupňové, pretože prvé dve aplikácie dostávajú príkazy spolu so súborom .dex spustiteľným zo vzdialeného cloudového servera. Predpokladá sa, že na rozdiel od prvých dvoch aplikácií sa AppLockFree používa na dohľad nad infekciou. Po spustení užitočného zaťaženia však malvér môže získať potrebné informácie o používateľoch a odoslať ich tímu Sun Team pomocou cloudových služieb Dropbox a Yandex.
Bezpečnostným expertom sa podarilo zachytiť malvér v počiatočných štádiách, čo znamená, že sa nerozšíril vo veľkom rozsahu. Napriek tomu sa predpokladá, že predtým, ako Google stiahol škodlivé aplikácie zo svojho obchodu, došlo k približne 100 infekciám.
Predchádzajúce útoky Sun Teamu boli zamerané aj na kórejských prebehlíkov
RedDawn nie je prvý malvérový útok uskutočnený Sun Teamom. Výskumníci v oblasti bezpečnosti zverejnili v januári 2018 správu o ďalšom reťazci malvérových útokov, ktoré sa zameriavali na kórejských prebehlíkov a novinárov pomocou Kakao Talk.[4] a ďalšie sociálne siete počas roka 2017. Trvalo dva mesiace, kým Google zistil a odstránil škodlivé aplikácie.
Bezpečnostní výskumníci mohli s istotou spojiť tieto útoky so Severokórejčanmi na základe skutočnosti, že na kontrolnom serveri škodlivého softvéru našli slová, ktoré nepochádzajú z Južnej Kórey. Okrem toho IP adresa tiež ukazovala na Severnú Kóreu.
Podľa výskumu približne 30 000 Severokórejčanov utieklo na juh a viac ako 1 000 sa každoročne pokúša uniknúť režimu. Hoci Kim Čong-un nedávno hovoril s americkými a juhokórejskými lídrami o ukončení 60-ročnej vojny,[5] Takéto útoky dokazujú, aké represívne sú názory severokórejských vodcov.