Аутори РедДавн циљају севернокорејске жртве користећи Мессенгер
Северна Кореја је позната по свом тоталитарном режиму широм света. Такође није тајна да становници покушавају да побегну из земље ризикујући своје животе. Међутим, након бекства, они би могли да буду откривени и праћени, како су стручњаци за безбедност из МцАфее-а открили[1] нови низ напада малвера који циљају севернокорејске пребеге.
Злонамерни софтвер, назван РедДавн, пронашли су стручњаци за безбедност у три различите апликације у Гоогле Плаи продавници. Ако се изврши и инсталира на Андроид уређају, може украсти значајну количину личног информације, као што су листа контаката, поруке, фотографије, бројеви телефона, информације друштвених медија и слични подаци. Касније се може користити за претње жртвама.
Ове заражене апликације могу се бесплатно преузети са њихових званичних сајтова и других ресурса. Међутим, хакерска група под називом Сун Теам ослањала се на другу методу – Фацебоок Мессенгер. Користили су га да комуницирају са жртвама и позивају их да преузму вирус користећи пхисхинг поруке. Лажни налози које су креирали хакери користе украдене фотографије Јужнокорејаца са друштвених мрежа, а доста појединаца је пријавило превару идентитета.
[2]Као што је очигледно, сајбер преваранти су ширили малвер користећи Мессенгер[3] већ неко време и не изгледа да ће ова врста напада ускоро престати. Од открића, Гоогле је уклонио све злонамерне апликације.
Злонамерне апликације, срећом, нису преузели многи
Ове три апликације које је тим за безбедност компаније МцАфее открио као злонамерне су:
- 음식궁합 (Информације о састојцима хране)
- Фаст АппЛоцк
- АппЛоцкФрее
Док се прва апликација фокусирала на припрему хране, друге две су биле повезане са онлајн безбедношћу (иронично). Без обзира на садржај апликације, чини се да је Сун тим покушао да се допадне више људи.
Инфекције су вишестепене, јер прве две апликације добијају команде, заједно са .дек извршном датотеком са удаљеног сервера у облаку. Верује се да се, за разлику од прве две апликације, АппЛоцкФрее користи за праћење фазе инфекције. Без обзира на то, када се изврши оптерећење, злонамерни софтвер може прикупити потребне информације о корисницима и послати их Сун тиму користећи услуге Дропбок и Иандек у облаку.
Стручњаци за безбедност успели су да ухвате малвер у раним фазама, што значи да се није широко проширио. Ипак, сматра се да се око 100 инфекција догодило пре него што је Гоогле уклонио злонамерне апликације из њихове продавнице.
Претходни напади Сун тима такође су били усмерени на корејске пребеге
РедДавн није први напад малвера који је извео Сун Теам. Истраживачи безбедности објавили су извештај у јануару 2018. о још једном низу напада злонамерног софтвера који су циљали корејске пребеге и новинаре који користе Какао Талк[4] и другим друштвеним мрежама током 2017. Прошло је два месеца пре него што је Гоогле уочио и уклонио злонамерне апликације.
Истраживачи безбедности могли би поуздано да повежу ове нападе са Севернокорејцима на основу чињенице да су на контролном серверу малвера пронашли неке речи које нису изворне у Јужној Кореји. Осим тога, ИП адреса је такође упућивала на Северну Кореју.
Према истраживању, око 30.000 људи из Северне Кореје побегло је на југ, а више од 1.000 покушава да побегне од режима сваке године. Иако је Ким Џонг Ун недавно разговарао са америчким и јужнокорејским лидерима о окончању 60-годишњег рата,[5] овакви напади доказују колико су ставови севернокорејских лидера заиста опресивни.