Noll
Vinter-Os: Låt den Spel – och malware-attacker – börja
Nordkoreanska avhoppare, tillsammans med dem som hjälper dem, blivit måltavla för en hacka operation som syftar till att infektera sina enheter med trojan malware för de ändamål för spioneri.
Kampanjen tydligen väljer offer noga och använder sociala nätverk och chatt program för att direkt interagera med utvalda offer i Sydkorea och plantera spionprogram på sina smartphones.
Forskare vid McAfee har hänföras attackerna till en operation som de har döpt till Sun Lag, uppkallad efter borttagna filer som används för att utföra attacker. Koncernen är för närvarande inte tänkt att ha några länkar till alla tidigare kända it-relaterad brottslighet outfits.
Sun Lag attacker som används för applikationer, inklusive KakaoTalk – en populär chatt app i Sydkorea – och populära sociala media tjänster, inklusive Facebook till stöd för ansträngningar på att distribuera trojan skadlig kod för Android-enheter av offren.
Analys av skadlig APK-filer som används i attacker avslöjar att en förkortad Url-adresser som används i ett försök att distribuera skadlig kod. Två olika beten användes i kampanjen: ett ställde som ‘BloodAssistant”, en hälso-och sjukvård app, medan en annan hade titeln “Be för Nordkorea” när översatta till engelska. I vissa fall angriparna använde Facebook för att försök att leverera BloodAssistant.
Solen Team malware pipett i handling.
Bild: McAfee
Om framgångsrik i att släppas på en enhet, skadlig kod kontrollerar först för att se om det redan är smittade. Om den inte är det, angripare använder en phishing-attack för att lura offret att vrida på tillgänglighet inställningar som de behöver för att få full kontroll över den infekterade enheten.
I ett försök att dölja hur tillgängligheten inställningar är manipulerats, skadlig kod öppnar en overlay – ofta visa en video – högst upp i displayen visar att fungera som en distraktion, som är omedelbart bort när den skadliga koden har tappats.
En gång installerat på målenheten, trojan använder cloud-tjänster, inklusive Dropbox, Google och Yandex som en kontroll-server, samt som ett nav för att ladda upp stulna data och ta emot kommandon.
Se även: Vad är nätfiske? Allt du behöver veta för att skydda dig från bedrägeri post och mycket mer
Stulna Data från enheten och sparas i en tillfällig mapp innan de laddas upp till molnet, vilket leder också instruktioner för att utföra skadliga aktiviteter, inklusive att spara meddelanden och information om kontakter. Hänvisningar till “Solen i Laget” i denna mapp ledde forskarna till christen hacka drift med dess namn.
Inte mycket är känt om den mystiska gruppen bakom attackerna, men forskare vid McAfee har spekulerat i att de måste vara väl förtrogen med det koreanska språket och sydkoreanska kulturen, eftersom namnen på kontot namn som förknippas med sina moln konton från koreansk tv – inklusive namn av tvål tecken och dokusåpor tävlande.
Forskarna noterar också att ett ord som finns i samband med angriparna – “blod typ” – används på ett sätt i samband med nordkoreanska stavning, snarare än i den sydkoreanska motsvarande. Nordkoreanska IP-test log-filer har också upptäckt på vissa Android-konton används för att sprida skadlig kod.
Dock McAfee konstaterar att detta inte är tillräckligt för att dra några slutsatser om var angriparna eftersom “Wi-Fi var på så vi kan inte utesluta möjligheten att IP-adressen är privat”
Som ett resultat, forskare säger att de kan inte bekräfta vem som ligger bakom kampanjen, annat än att de är “bekant med Sydkorea och ser ut att vilja spy på nordkoreanska avhoppare, och på grupper och individer som hjälpa avhoppare”.
Medan Solen Team operation är mycket målinriktat med nordkoreanska avhoppare och deras medhjälpare i åtanke, McAfee forskaren Jaewon Min rekommenderar alla Android-användare att följa bästa praxis i syfte att undvika att falla offer för attacker.
“Alltid hålla din mobil säkerhet program har uppdaterats till den senaste versionen och installera aldrig program från overifierade källor. Vi rekommenderar att du installerar KakaoTalk bara från Google Play. Dessa vanor kommer att minska risken för infektion av skadlig kod,” sade han.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
Hackare mål Vinter-Os med nya specialbyggda fileless malwareThis är det enklaste sättet att förhindra att skadlig programvara på din Android-enhet [MAG]Android säkerhet: Google sprickor ner på appar som vill använda tillgängligheten servicesThe framtida cyberkrig: Weaponised ransomware, IoT attacker och en ny kapprustning [TechRepublic]Denna Android spionprogram kan spela in samtal, ta skärmbilder och video, mål Gmail, LinkedIn, Snapchat data
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0