朝鮮有關的黑客用谷歌Play商店中的惡意軟體追蹤脫北者

據外媒Techspot報道， 谷歌Play商店此前曾出現一些看似合法卻包含惡意軟體的的應用程序並不陌生，但McAfee的研究人員發現了一些與以前不同的內容：針對特定個人的三種惡意應用程序。該安全組織表示，一個與朝鮮有關的小組上傳了這些應用程序，這些應用程序旨在滲透屬於脫北者的Android設備。

雖然「朝鮮黑客」通常指臭名昭著Lazarus Group，但此次的攻擊者是 Sun Team。該組織參加了名為RedDawn的活動，該廣告活動在惡意軟體載入應用程序被添加到谷歌Play商店之前，曾試圖吸引「叛逃者」下載軟體。

今年1月至3月間，這三款應用出現在谷歌Play商店中。其中一個稱為 Food Ingredients Info的應用提供了有關食物成分的信息。另外兩個應用——Fast AppLock 和Fast AppLockFree則是安全工具。這三款應用都能夠竊取那些下載應用的用戶的個人數據，這些數據可能被用來勒索，威脅或追蹤受害者; 這些信息包括用戶的照片、聯繫人、通話記錄和簡訊等。

「感染設備後，惡意軟體使用Dropbox和Yandex上傳數據並發布命令，包括其他插件dex文件;這與早期的Sun Team攻擊類似，」McAfee的Jaewon Min寫道。「從這些雲存儲站點，我們發現了Sun Team用於我們1月份報告的惡意軟體活動的相同測試Android設備的信息日誌。日誌具有類似的格式，並使用與其他Sun Team日誌相同的縮略欄位。此外，新惡意軟體 開發 者的電子郵件地址與早先與Sun Team相關的電子郵件地址相同。」

Sun Team試圖讓朝鮮叛逃者（其中2016年有超過30,000人）通過使用虛假的Facebook個人資料或通過該 網站 發送直接私人消息來下載應用程序。在韓國流行的聊天應用程序KakaoTalk也被用來發送鏈接到目標。

目前已被刪除的應用程序在谷歌 Play商店中大約被下載了100次。據報道，Sun Team設置的兩個虛假的Facebook個人資料仍然活躍。將攻擊與朝鮮聯繫在一起的進一步證據包括在測試日誌文件中找到的屬於該國的IP地址，以及作者使用韓語「不在韓國語辭彙中」的事實。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！