Хакеры из КНДР запускают шпионские приложения для поиска дезертиров
Два приложения были замаскированы под утилиты для настройки безопасности мобильного устройства, третье представляло собой справочник пищевых ингредиентов. Скрытые функции, имеющиеся в них, позволяли их создателям удалённо получать фотографии, контакты и сообщения.
Точно такое же вредоносное ПО впервые появилось в Google Play в январе этого года. Тогда исследователями был найден северокорейский IP-адрес в файле журнала на заражённом Android-устройстве, а также слова, которые использовались только в КНДР. Разработчиков прозвали Sun Team по аналогии с найденной папкой «Sun Team Folder». После уведомления Google, шпионское ПО удалили из Google Play.
На этой неделе компания McAfee снова обнаружила в Google Play аналогичные приложения. В них использовался тот же электронный адрес разработчика, а ссылки на них распространялись через Facebook. По всей видимости, цели для хакерской группы были определены заранее. Это могли быть журналисты или просто граждане, сбежавшие из КНДР.
В McAfee считают, что разработчики не связаны с известными северокорейскими хакерами. Тем не менее, бэкдоры, генерация ключей шифрования и способ взаимодействия с удалённым сервером очень напоминают методы, используемые хакерской группой Lazarus, которой приписывают атаку на Sony Pictures в 2014 году и распространение вируса-вымогателя Wannacry. Не исключено, что это может быть отдельно созданная группа выходцев из Lazarus.