上周迈克菲分析了来自朝鲜黑客组织“太阳队”的恶意软件RedDawn,据悉,这是恶意软件第一次滥用合法的谷歌商店散布至网络。
根据迈克菲安全研究员的发现,RedDawn是一款针对朝鲜叛逃者和记者的安卓恶意软件,于2017年开始活动并多次更新,目的是从感染的设备中提取信息,提取方式为被安装后自动复制包括个人照片、联系人和短信在内的敏感信息后,将它们发送给黑客组织。所幸研究人员发现黑客在谷歌上传的是“未发布”版本,通过应用商店发生的感染仅发现约100次,目前谷歌已将带有恶意软件的相关程序删除。除此之外,黑客还使用Facebook发布了与RedDawn相关的恶意链接。
经过分析,他们认为Red Dawn应用程序是多阶段的,有多个组件。报告显示,迈克菲发现了三个由“太阳队”上传的应用程序,上传活动使用了“太阳队”以前攻击中使用的电子邮件帐户和安卓设备。这次袭击中的第一个应用程序음식궁합(食品配料信息)提供了有关食物的信息; 另外两个应用程序Fast AppLock和AppLockFree与安全相关。Fast AppLock偷偷窃取设备信息,并从云控制服务器接收命令和附加可执行文件(.dex)文件。AppLockFree与其他两个应用程序不同,是侦察阶段的一部分,为下一个阶段奠定了基础。
有趣的是,黑客在活动中使用了蹩脚的韩文—Dropbox帐号命名使用名人的名字命名,比如杰克·布莱克(Jack Black),这暗示了黑客是熟悉韩国文化的外国人,恰好也符合“太阳队”以往的网络攻击套路。
在《华盛顿邮报》的采访中,迈克菲表示:“在‘太阳队’使用的一个云存储上,我们发现了相关漏洞代码,这些代码是经过修改版本的公共可用沙箱越狱、权限升级、代码执行漏洞,这些功能增加了在受害者的设备上删除木马程序的功能。”另外,黑客使用了在不同国家制造的手机设备,并安装了韩国应用程序来测试他们试图使用的漏洞。
事实上,黑客开始利用这些漏洞只是时间问题。专家建议,为了避免感染,用户在安装任何应用的未发布版本或测试版时都应该谨慎,安装前最好检查下载的次数,看看应用是否被广泛安装后再做决定。