Etkilenen Google Play uygulamaları, Kuzey Kore'den kaçanları hedefliyor

RedDawn yazarları Messenger kullanarak Kuzey Koreli kurbanları hedefliyor

Kuzey Koreliler, mültecileri izlemek için Play Store'a yüklenen kötü amaçlı yazılımları kullanıyor

Kuzey Kore, dünya çapında totaliter rejimi ile tanınır. Sakinlerin hayatlarını riske atarak ülkeden kaçmaya çalıştıkları da bir sır değil. Ancak, McAfee güvenlik uzmanlarının keşfettiği gibi, kaçıştan sonra yine de tespit edilip izlenebilirler.[1] Kuzey Koreli sığınmacıları hedef alan yeni bir kötü amaçlı yazılım saldırısı dizisi.

RedDawn adlı kötü amaçlı yazılım, güvenlik uzmanları tarafından Google Play Store'daki üç farklı uygulamada bulundu. Android cihazda çalıştırılır ve kurulursa, önemli miktarda kişisel veriyi çalabilir. kişi listesi, mesajlar, fotoğraflar, telefon numaraları, sosyal medya bilgileri ve benzer veriler. Daha sonra kurbanları tehdit etmek için kullanılabilir.

Bu virüslü uygulamalar, resmi sitelerinden ve diğer kaynaklardan ücretsiz olarak indirilebilir. Ancak Sun Team adlı hacker grubu başka bir yönteme güveniyor – Facebook'un Messenger'ı. Bunu kurbanlarla iletişim kurmak ve kimlik avı mesajları kullanarak virüsü indirmeye teşvik etmek için kullandılar. Bilgisayar korsanları tarafından oluşturulan sahte hesaplar, Güney Korelilerin çalıntı sosyal ağ fotoğraflarını kullanıyor ve çok sayıda kişi kimlik sahtekarlığı bildirdi.

[2]

Açıkça görüldüğü gibi, siber dolandırıcılar Messenger kullanarak kötü amaçlı yazılımlar yayıyor[3] bir süredir ve bu tür saldırılar yakın zamanda duracak gibi görünmüyor. Keşfinden bu yana, tüm kötü amaçlı uygulamalar Google tarafından kaldırıldı.

Neyse ki kötü amaçlı uygulamalar pek çok kişi tarafından indirilmedi

McAfee'nin güvenlik ekibi tarafından kötü amaçlı olarak keşfedilen bu üç uygulama şunlardır:

  • 음식궁합 (Gıda Bileşenleri Bilgisi)
  • Hızlı Uygulama Kilidi
  • AppLockFree

İlk uygulama yemek hazırlamaya odaklanırken, diğer ikisi çevrimiçi güvenliğe bağlıydı (ironik bir şekilde). Uygulama içeriğinden bağımsız olarak, Sun Team birden fazla kişiye hitap etmeye çalışmış gibi görünüyor.

İlk iki uygulama komutları uzak bir bulut sunucusundan bir .dex yürütülebilir dosyasıyla birlikte aldığından, bulaşmalar çok aşamalıdır. İlk iki uygulamanın aksine, AppLockFree'nin enfeksiyonun gözetim aşaması için kullanıldığına inanılıyor. Bununla birlikte, yük yürütüldüğünde, kötü amaçlı yazılım, kullanıcılar hakkında gerekli bilgileri toplayabilir ve Dropbox ve Yandex bulut tabanlı hizmetlerini kullanarak Sun Team'e gönderebilir.

Güvenlik uzmanları, kötü amaçlı yazılımları erken aşamalarda yakalamayı başardı, yani yaygın bir şekilde yayılmadı. Bununla birlikte, Google kötü amaçlı uygulamaları mağazalarından kaldırmadan önce yaklaşık 100 enfeksiyonun gerçekleştiği algılanıyor.

Önceki Sun Team saldırıları Koreli sığınmacıları da hedef almıştı

RedDawn, Sun Team tarafından gerçekleştirilen ilk kötü amaçlı yazılım saldırısı değil. Güvenlik araştırmacıları, Ocak 2018'de Kakao Talk kullanan Koreli sığınmacıları ve gazetecileri hedef alan başka bir kötü amaçlı yazılım saldırısı dizisi hakkında bir rapor yayınladı.[4] ve 2017 boyunca diğer sosyal ağlar. Kötü amaçlı uygulamaların Google tarafından tespit edilip kaldırılması iki ay sürdü.

Güvenlik araştırmacıları, kötü amaçlı yazılımın kontrol sunucusunda Güney Kore'ye özgü olmayan bazı kelimeler buldukları gerçeğine dayanarak bu saldırıları güvenle Kuzey Korelilere bağlayabilirler. Ayrıca IP adresi de Kuzey Kore'yi gösteriyordu.

Araştırmaya göre, her yıl yaklaşık 30.000 Kuzey Koreli Güney'e kaçtı ve 1000'den fazla kişi rejimden kaçmaya çalışıyor. Kim Jong Un geçenlerde Amerikalı ve Güney Koreli liderlerle 60 yıllık bir savaşın sona erdirilmesi hakkında konuşuyor olsa da,[5] Bu tür saldırılar, Kuzey Koreli liderlerin görüşlerinin gerçekte ne kadar baskıcı olduğunu kanıtlıyor.