แอป Google Play ที่ติดไวรัสกำลังกำหนดเป้าหมายไปยังผู้แปรพักตร์ชาวเกาหลีเหนือ

เบ็ดเตล็ดDec 20, 2021

ผู้เขียน RedDawn ตั้งเป้าไปที่เหยื่อชาวเกาหลีเหนือโดยใช้ Messenger

ชาวเกาหลีเหนือใช้มัลแวร์ที่อัปโหลดบน Play Store เพื่อติดตามผู้ลี้ภัย

เกาหลีเหนือเป็นที่รู้จักจากระบอบเผด็จการทั่วโลก ไม่เป็นความลับที่ชาวบ้านพยายามหนีออกนอกประเทศขณะเสี่ยงชีวิต อย่างไรก็ตาม หลังจากการหลบหนี พวกเขายังอาจถูกตรวจพบและติดตาม ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยจาก McAfee ค้นพบ[1] การโจมตีด้วยมัลแวร์ชุดใหม่ที่กำหนดเป้าหมายผู้แปรพักตร์ชาวเกาหลีเหนือ

มัลแวร์ชื่อ RedDawn ถูกพบโดยผู้เชี่ยวชาญด้านความปลอดภัยในสามแอพที่แตกต่างกันบน Google Play Store หากดำเนินการและติดตั้งบนอุปกรณ์ Android อาจขโมยข้อมูลส่วนบุคคลได้เป็นจำนวนมาก ข้อมูลต่างๆ เช่น รายชื่อผู้ติดต่อ ข้อความ รูปภาพ หมายเลขโทรศัพท์ ข้อมูลโซเชียลมีเดีย และ ข้อมูลที่คล้ายกัน ต่อมาสามารถใช้ข่มขู่เหยื่อได้

สามารถดาวน์โหลดแอปที่ติดไวรัสเหล่านี้ได้ฟรีจากเว็บไซต์ทางการและแหล่งข้อมูลอื่นๆ อย่างไรก็ตาม กลุ่มแฮ็กเกอร์ที่ชื่อ Sun Team ได้ใช้วิธีอื่น – Messenger ของ Facebook พวกเขาใช้เพื่อสื่อสารกับเหยื่อและกระตุ้นให้พวกเขาดาวน์โหลดไวรัสโดยใช้ข้อความฟิชชิ่ง บัญชีปลอมที่สร้างโดยแฮ็กเกอร์ใช้ภาพถ่ายโซเชียลเน็ตเวิร์กที่ถูกขโมยของชาวเกาหลีใต้ และมีบุคคลจำนวนค่อนข้างน้อยรายงานว่ามีการฉ้อโกงข้อมูลส่วนตัว[2]

เห็นได้ชัดว่าอาชญากรไซเบอร์ได้แพร่กระจายมัลแวร์โดยใช้ Messenger[3] มาระยะหนึ่งแล้ว และดูเหมือนว่าการโจมตีประเภทนี้จะไม่หยุดยั้งในเร็วๆ นี้ นับตั้งแต่การค้นพบ Google ลบแอปที่เป็นอันตรายทั้งหมด

แอพที่เป็นอันตรายโชคดีที่หลายคนยังไม่ค่อยดาวน์โหลด

แอปทั้งสามนี้ตรวจพบโดยทีมรักษาความปลอดภัยจาก McAfee ว่าเป็นอันตราย ได้แก่:

  • 음식궁합 (ข้อมูลส่วนผสมอาหาร)
  • แอปล็อคอย่างรวดเร็ว
  • AppLockFree

ในขณะที่แอปแรกเน้นที่การเตรียมอาหาร อีกสองแอปเชื่อมต่อกับความปลอดภัยออนไลน์ (แดกดัน) ดูเหมือนว่า Sun Team จะพยายามดึงดูดผู้คนจำนวนมากโดยไม่คำนึงถึงเนื้อหาแอป

การติดไวรัสมีหลายขั้นตอน เนื่องจากสองแอปแรกได้รับคำสั่ง ร่วมกับไฟล์สั่งการ .dex จากเซิร์ฟเวอร์คลาวด์ระยะไกล เป็นที่เชื่อกันว่า AppLockFree ต่างจากสองแอปแรกสำหรับขั้นตอนการเฝ้าระวังการติดเชื้อ อย่างไรก็ตาม เมื่อดำเนินการเพย์โหลดแล้ว มัลแวร์สามารถเก็บเกี่ยวข้อมูลที่จำเป็นเกี่ยวกับผู้ใช้ และส่งไปยัง Sun Team โดยใช้บริการบนคลาวด์ของ Dropbox และ Yandex

ผู้เชี่ยวชาญด้านความปลอดภัยสามารถจับมัลแวร์ได้ในระยะแรก หมายความว่าไม่ได้แพร่กระจายอย่างกว้างขวาง อย่างไรก็ตาม พบว่ามีการติดเชื้อประมาณ 100 รายการก่อนที่ Google จะนำแอปที่เป็นอันตรายออกจากร้าน

ก่อนหน้า การโจมตีของทีม Sun ก็มุ่งเป้าไปที่ผู้แปรพักตร์ชาวเกาหลีเช่นกัน

RedDawn ไม่ใช่การโจมตีมัลแวร์ครั้งแรกที่ดำเนินการโดย Sun Team นักวิจัยด้านความปลอดภัยตีพิมพ์รายงานเมื่อเดือนมกราคม 2561 เกี่ยวกับการโจมตีมัลแวร์อีกชุดหนึ่งซึ่งกำหนดเป้าหมายไปยังผู้แปรพักตร์และนักข่าวชาวเกาหลีโดยใช้ Kakao Talk[4] และโซเชียลเน็ตเวิร์กอื่นๆ ในช่วงปี 2560 Google ตรวจพบและนำแอปที่เป็นอันตรายออกโดยใช้เวลาสองเดือน

นักวิจัยด้านความปลอดภัยสามารถเชื่อมโยงการโจมตีเหล่านี้กับชาวเกาหลีเหนือได้อย่างมั่นใจ โดยอิงจากข้อเท็จจริงที่ว่าพวกเขาพบคำบางคำบนเซิร์ฟเวอร์ควบคุมของมัลแวร์ที่ไม่ได้มีถิ่นกำเนิดในเกาหลีใต้ นอกจากนี้ ที่อยู่ IP ยังชี้ไปที่เกาหลีเหนือด้วย

จากการวิจัยพบว่า ชาวเกาหลีเหนือประมาณ 30,000 คนหนีไปทางใต้ และมากกว่า 1,000 คนกำลังพยายามหลบหนีระบอบการปกครองทุกปี แม้ว่าเมื่อเร็ว ๆ นี้ Kim Jong Un กำลังพูดคุยกับผู้นำอเมริกันและเกาหลีใต้เกี่ยวกับการยุติสงคราม 60 ปี[5] การโจมตีเช่นนี้พิสูจน์ให้เห็นว่าความคิดเห็นของผู้นำเกาหลีเหนือเป็นเรื่องที่กดขี่จริงๆ