上周迈克菲分析了来自朝鲜黑客组织“太阳队”的恶意软件RedDawn，据悉，这是恶意软件第一次滥用合法的谷歌商店散布至网络。

根据迈克菲安全研究员的发现，RedDawn是一款针对朝鲜叛逃者和记者的安卓恶意软件，于2017年开始活动并多次更新，目的是从感染的设备中提取信息，提取方式为被安装后自动复制包括个人照片、联系人和短信在内的敏感信息后，将它们发送给黑客组织。所幸研究人员发现黑客在谷歌上传的是“未发布”版本，通过应用商店发生的感染仅发现约100次，目前谷歌已将带有恶意软件的相关程序删除。除此之外，黑客还使用Facebook发布了与RedDawn相关的恶意链接。

经过分析，他们认为Red Dawn应用程序是多阶段的，有多个组件。报告显示，迈克菲发现了三个由“太阳队”上传的应用程序，上传活动使用了“太阳队”以前攻击中使用的电子邮件帐户和安卓设备。这次袭击中的第一个应用程序음식궁합（食品配料信息）提供了有关食物的信息; 另外两个应用程序Fast AppLock和AppLockFree与安全相关。Fast AppLock偷偷窃取设备信息，并从云控制服务器接收命令和附加可执行文件（.dex）文件。AppLockFree与其他两个应用程序不同，是侦察阶段的一部分，为下一个阶段奠定了基础。

有趣的是，黑客在活动中使用了蹩脚的韩文—Dropbox帐号命名使用名人的名字命名，比如杰克·布莱克(Jack Black)，这暗示了黑客是熟悉韩国文化的外国人，恰好也符合“太阳队”以往的网络攻击套路。

在《华盛顿邮报》的采访中，迈克菲表示：“在‘太阳队’使用的一个云存储上，我们发现了相关漏洞代码，这些代码是经过修改版本的公共可用沙箱越狱、权限升级、代码执行漏洞，这些功能增加了在受害者的设备上删除木马程序的功能。”另外，黑客使用了在不同国家制造的手机设备，并安装了韩国应用程序来测试他们试图使用的漏洞。

事实上，黑客开始利用这些漏洞只是时间问题。专家建议，为了避免感染，用户在安装任何应用的未发布版本或测试版时都应该谨慎，安装前最好检查下载的次数，看看应用是否被广泛安装后再做决定。