Infekterade Google Play-appar riktar sig till nordkoreanska avhoppare

MiscellaneaDec 20, 2021
click fraud protection

RedDawn-författare riktar in sig på nordkoreanska offer med hjälp av Messenger

Nordkoreaner använder skadlig programvara som laddats upp på Play Butik för att spåra flyktingar

Nordkorea är känt för sin totalitära regim runt om i världen. Det är inte heller någon hemlighet att invånare försöker fly landet samtidigt som de riskerar sina liv. Efter flykten kan de dock fortfarande upptäckas och spåras, vilket säkerhetsexperter från McAfee upptäckte[1] en ny rad skadliga attacker som riktar sig mot nordkoreanska avhoppare.

Skadlig programvara, kallad RedDawn, hittades av säkerhetsspecialister i tre olika appar på Google Play Butik. Om den körs och installeras på Android-enhet kan den stjäla en betydande mängd personligt information, såsom kontaktlista, meddelanden, foton, telefonnummer, information om sociala medier och liknande data. Senare kan den användas för att hota offer.

Dessa infekterade appar kan laddas ner fritt från deras officiella webbplatser och andra resurser. Hackergruppen Sun Team har dock förlitat sig på en annan metod – Facebooks Messenger. De använde det för att kommunicera med offer och uppmana dem att ladda ner viruset med hjälp av nätfiskemeddelanden. De falska konton som skapats av hackare använder stulna sociala nätverksbilder av sydkoreaner, och en hel del individer rapporterade identitetsbedrägeri.

[2]

Som uppenbart har cyberskurkar spridit skadlig programvara med Messenger[3] ett tag nu, och det verkar inte som att den här typen av attacker kommer att sluta någon gång snart. Sedan upptäckten har alla skadliga appar tagits bort av Google.

Skadliga appar har lyckligtvis inte laddats ner av många

Dessa tre appar som upptäckts av säkerhetsteamet från McAfee som skadliga är:

  • 음식궁합 (Info om livsmedelsingredienser)
  • Snabb AppLock
  • AppLockFree

Medan den första appen fokuserade på matlagning, var andra två kopplade till onlinesäkerheten (ironiskt nog). Oavsett appinnehåll verkar det som om Sun Team försökte tilltala flera personer.

Infektioner är flerstegs, eftersom de två första apparna får kommandon, tillsammans med en .dex-körbar fil från en fjärrmolnserver. Man tror att, till skillnad från de två första apparna, används AppLockFree för övervakningsstadiet av infektionen. Ändå, när nyttolasten har körts, kan skadlig programvara samla in nödvändig information om användare och skicka den till Sun Team med hjälp av Dropbox och Yandex molnbaserade tjänster.

Säkerhetsexperter lyckades fånga skadlig programvara i tidiga skeden, vilket innebär att den inte spreds brett. Ändå uppfattas det som att runt 100 infektioner ägde rum innan Google tog bort de skadliga apparna från sin butik.

Tidigare attacker från Sun Team hade också riktats mot koreanska avhoppare

RedDawn är inte den första skadliga attacken som utförs av Sun Team. Säkerhetsforskare publicerade en rapport i januari 2018 om ytterligare en rad skadliga attacker som riktade sig mot koreanska avhoppare och journalister med Kakao Talk[4] och andra sociala nätverk under 2017. Det tog två månader innan skadliga appar upptäcktes och togs bort av Google.

Säkerhetsforskare kunde med säkerhet koppla dessa attacker till nordkoreaner baserat på det faktum att de hittade några ord på skadlig programvaras kontrollserver som inte är hemmahörande i Sydkorea. Dessutom pekade IP-adressen också på Nordkorea.

Enligt forskning flydde omkring 30 000 nordkoreaner till söder och mer än 1 000 försöker fly regimen varje år. Även om Kim Jong Un nyligen pratade med amerikanska och sydkoreanska ledare om att avsluta ett 60 år gammalt krig,[5] attacker som dessa bevisar hur förtryckande de nordkoreanska ledarnas åsikter verkligen är.