与朝鲜有关的黑客使用谷歌Play商店中的恶意软件追踪脱北者
与朝鲜有关的黑客使用谷歌Play商店中的恶意软件追踪脱北者
据外媒Techspot报道, 谷歌Play商店此前曾出现一些看似合法却包含恶意软件的的应用程序并不陌生,但McAfee的研究人员发现了一些与以前不同的内容:针对特定个人的三种恶意应用程序。该安全组织表示,一个与朝鲜有关的小组上传了这些应用程序,这些应用程序旨在渗透属于脱北者的Android设备。
虽然“朝鲜黑客”通常指臭名昭著Lazarus Group,但此次的攻击者是 Sun Team。该组织参加了名为RedDawn的活动,该广告活动在恶意软件加载应用程序被添加到谷歌Play商店之前,曾试图吸引“叛逃者”下载软件。
今年1月至3月间,这三款应用出现在谷歌Play商店中。其中一个称为 Food Ingredients Info的应用提供了有关食物成分的信息。另外两个应用——Fast AppLock 和Fast AppLockFree则是安全工具。这三款应用都能够窃取那些下载应用的用户的个人数据,这些数据可能被用来勒索,威胁或追踪受害者; 这些信息包括用户的照片、联系人、通话记录和短信等。
“感染设备后,恶意软件使用Dropbox和Yandex上传数据并发布命令,包括其他插件dex文件;这与早期的Sun Team攻击类似,”McAfee的Jaewon Min写道。“从这些云存储站点,我们发现了Sun Team用于我们1月份报告的恶意软件活动的相同测试Android设备的信息日志。日志具有类似的格式,并使用与其他Sun Team日志相同的缩略字段。此外,新恶意软件者的电子邮件地址与早先与Sun Team相关的电子邮件地址相同。”
Sun Team试图让朝鲜叛逃者(其中2016年有超过30,000人)通过使用虚假的Facebook个人资料或通过该发送直接私人消息来下载应用程序。在韩国流行的聊天应用程序KakaoTalk也被用来发送链接到目标。
目前已被删除的应用程序在谷歌 Play商店中大约被下载了100次。据报道,Sun Team设置的两个虚假的Facebook个人资料仍然活跃。将攻击与朝鲜联系在一起的进一步证据包括在测试日志文件中找到的属于该国的IP地址,以及作者使用韩语“不在韩国语词汇中”的事实。