Північна Корея з перехопленням нападників з використанням шкідливих програм Android
За допомогою більшості кампаній зловмисних програм метою є зараження якнайбільше людей. Це не справа з останньою атакою, розкритою дослідниками у McAfee. Мобільна дослідницька група компанії повідомляє про те, що Північна Корея знову зловживає зловмисним програмним забезпеченням Android, але на цей раз вона використовує як Facebook, так і Google Play цільові північнокорейські переселенці, які живуть в Південній Кореї.
За словами McAfee, хакерство Sun Team Північної Кореї здійснило атаку за останні кілька місяців. Вони, ймовірно, заражають близько 100 цілей, що не є величезним числом у порівнянні з більшістю кампаній зловмисного програмного забезпечення. Проте це були цілеспрямовані проникнення для збирання розвідки щодо політичних опонентів. В даний час на півдні проживає близько 30 000 північнокорейських переселенців.
Хакери використовували Facebook для розповсюдження посилань на шкідливі програми, орієнтуючись на населення та людей, які мали б інформацію про перебіжчиків. Вони створили переконливі підроблені профілі, часто використовуючи образи, викрадені з південнокорейських користувачів, як фотографії профілю. У своїх публікаціях було запропоновано цілі завантажувати та протестувати деякі програми Android, розміщені в магазині Google Play. Ці додатки, однак, були не те, що вони з'явилися.
Дослідники McAfee виявили три програми, завантажені хакерами Sun Team: 음식 궁합 (Інформація про продукти інгредієнтів), Fast AppLock та AppLockFree. Усі три були позначені як "невидані" у магазині Google Play, що призвело до небажаної уваги. Хакери хотіли лише надіслати конкретні цілі до списків. Після встановлення додатки запитають доступ до контактів, даних SMS та локальних файлів, перш ніж надсилати їх усім операторам зловмисного програмного забезпечення. Ці дані можуть призвести до збільшення цільових наслідків для майбутніх атак на шкідливі програми, в тому числі обох перебіжчиків та тих, хто допомагає їм уникнути Північної Кореї. McAfee прив'язувала додатки разом до однієї атаки з використанням однакових облікових записів розробників, електронних листів та IP-адрес.
На щастя, McAfee вважає, що команда Sun не має технічних навичок. Шкідлива програма намагається отримати контроль над цільовими пристроями, але використовує загальнодоступну пісочницю, ескалацію привілеїв та експлуатацію коду. Більшість пристроїв виправлено для блокування цих атак. Отже, McAfee пропонує Sun Team не володіти технічними навичками в даний час, щоб знайти нові атаки на нуль-день на Android.
Дослідники повідомляли Google та Facebook про операцію. Компанія Google вилучила зловмисні програми, що не розповсюджувалися, в магазині Google Play, а Facebook наклав підроблені облікові записи. McAfee рекомендує користувачам уникати встановлення нерозголошених або незрозумілих додатків, щоб переконатися, що вони не фішингу.