McAfee说,间谍软件通过社交链接定位朝鲜持不同政见者
对朝鲜叛逃者的间谍软件运动进行调查,记者和群体帮助他们,揭示了袭击高度目标。
该调查遵循韩国媒体的报告,即未知的演员在韩国使用KakaoTalk,一个受欢迎的聊天应用程序以及其他社交网络服务,如Facebook,以在受害者的设备上安装恶意软件。
该链接似乎是用于血液助理的HeathCare应用程序或称为朝鲜祈祷的应用程序,但单击链接会导致受害者设备上安装间谍软件。
两个应用程序使用相同的丢弃器。McAfee已将间谍软件识别为Android / HiddenApp.bp。
研究人员发现,在与血液助理的恶意链接的情况下,Facebook被用来用于12%的案件,以将链接发送到其目标。
根据研究人员的说法,Dropped Trojan使用流行的Cloud Services Dropbox和Yandex作为控制服务器来上传数据和接收命令。
安装丢弃的木马时,它将在临时文件夹中保存设备信息并将其上传到云端。它然后下载包含命令和其他数据的文件以控制受感染的设备。
大多数恶意行为 - 例如保存联系信息 - 是在名为“核心”的单独DEX [Android可执行文件]文件中实现,该文件从控制服务器下载。
研究人员发现命令文件具有自己的格式,并且从云接收的命令代码的处理程序被实现为单独的dex文件,并在恶意软件解析命令文件之前或之后下载。
研究人员表示,这种机制允许攻击者轻松扩展其恶意功能,而无需更新整个恶意软件。
他们认为,这一运动背后的小组熟悉韩国文化,电视节目,戏剧和语言,因为与云服务相关的帐户名称来自韩国戏剧和电视节目。
研究人员能够将恶意软件与一个名为Sun Team的小组联系起来,这似乎自2016年以来一直活跃。研究人员说,该名称与任何先前已知的网络犯罪集团无关。
McAfee建议将移动安全保持最新,因此它将识别此类和其他新形式的移动恶意软件。它还建议仅从Google Play安装应用以降低恶意软件感染的风险。