Автори RedDawn орієнтуються на північнокорейських жертв за допомогою Messenger
Північна Корея відома своїм тоталітарним режимом у всьому світі. Також не секрет, що жителі намагаються втекти з країни, ризикуючи життям. Однак після втечі їх все ще можна було виявити та відстежити, як виявили експерти з безпеки з McAfee[1] новий ряд атак зловмисного програмного забезпечення, спрямованих на північнокорейських перебіжчиків.
Шкідливе програмне забезпечення під назвою RedDawn було виявлено фахівцями з безпеки в трьох різних додатках у магазині Google Play. Якщо запустити та встановити на пристрої Android, він може вкрасти значну кількість персональних даних інформацію, таку як список контактів, повідомлення, фотографії, номери телефонів, інформація в соціальних мережах та подібні дані. Згодом його можна використовувати для погроз жертвам.
Ці заражені програми можна безкоштовно завантажити з їхніх офіційних сайтів та інших ресурсів. Однак хакерська група під назвою Sun Team покладалася на інший метод – Messenger від Facebook. Вони використовували його для спілкування з жертвами та закликали їх завантажити вірус за допомогою фішингових повідомлень. У фальшивих акаунтах, створених хакерами, використовуються вкрадені фотографії південнокорейців у соціальних мережах, і чимало людей повідомили про шахрайство.
Як очевидно, кібершахраї поширювали шкідливе програмне забезпечення за допомогою Messenger[3] на деякий час, і не здається, що такі атаки скоро припиняться. З моменту виявлення всі шкідливі програми були видалені Google.
Шкідливі програми, на щастя, завантажували не багато
Ці три програми, виявлені командою безпеки McAfee як шкідливі:
- 음식궁합 (Інформація про харчові інгредієнти)
- Швидкий AppLock
- AppLockFree
У той час як перший додаток був зосереджений на приготуванні їжі, інші два були підключені до онлайн-безпеки (за іронією долі). Незалежно від вмісту програми, схоже, що команда Sun намагалася зацікавити кількох людей.
Зараження є багатоступеневим, оскільки перші дві програми отримують команди разом із виконуваним файлом .dex з віддаленого хмарного сервера. Вважається, що, на відміну від перших двох додатків, AppLockFree використовується для спостереження за стадією зараження. Тим не менш, після виконання корисного навантаження зловмисне програмне забезпечення може зібрати необхідну інформацію про користувачів і надіслати її команді Sun за допомогою хмарних сервісів Dropbox і Yandex.
Експертам з безпеки вдалося зловити шкідливе програмне забезпечення на ранніх стадіях, тобто воно не поширилося широко. Тим не менш, вважається, що близько 100 заражень відбулося до того, як Google видалив шкідливі програми зі свого магазину.
Попередні атаки Sun Team також були спрямовані на корейських перебіжчиків
RedDawn — не перша атака шкідливого програмного забезпечення, здійснена Sun Team. У січні 2018 року дослідники безпеки опублікували звіт про чергову серію атак зловмисного програмного забезпечення, спрямованих на корейських перебіжчиків і журналістів, які використовували Kakao Talk.[4] та інших соціальних мережах протягом 2017 року. Минуло два місяці, перш ніж Google виявив і видалив шкідливі програми.
Дослідники з безпеки могли впевнено пов’язати ці атаки з північнокорейцями на основі того факту, що вони знайшли деякі слова на сервері керування шкідливим ПЗ, які не є рідними для Південної Кореї. Крім того, IP-адреса також вказувала на Північну Корею.
Згідно з дослідженнями, близько 30 000 північнокорейців втекли на південь і понад 1000 щороку намагаються втекти від режиму. Хоча Кім Чен Ин нещодавно говорив з американськими та південнокорейськими лідерами про припинення 60-річної війни,[5] подібні напади доводять, наскільки гнітючим насправді є погляди північнокорейських лідерів.