+43 699 / 18199463
office@itexperst.at
nordkorea spioniert ueberlaeufer aus

RedDawn Malware spioniert Nordkoreas Überläufer aus

Nordkoreas Überläufer werden seit einiger Zeit über ein paar Android Apps im Google Play Store gezielt ausspioniert. Aber nicht nur die etwa 30.000 jährlichen Überläufer sind betroffen, auch alle, die ihnen zur Flucht geholfen haben oder Gleich- oder Gutgesinnte sowie Journalisten.

Ganz hinterlistig hat eine Hackergruppe namens Sun Team RedDawn Malware sie konzipiert und im koreanischen Google Play Store veröffentlich. Damit nutzt die Hackergruppe die heimatliche und sprachliche Verbundenheit der Überläufer zu Spionagezwecken aus.

McAfee Sicherheitsforscher haben SunTeam schon seit einer Weil auf dem Radar. Im Januar versuchte die Hackergruppe schon einmal, eine andere Android-Malware im Playstore anzubieten. Seinerzeit wurde mittels Social-Engineering- und Messaging-Anwendungen versucht, Opfer gezielt auszuwählen und deren mobile Geräte mit Trojanern und Spyware zu infizieren. Die Anwendungen waren eine Gesundheitsapp „BloodAssistant“ und eine App namens „Pray for Nordkorea“. Damit sollten Telefon- und E-Mail-Kontaktlisten der Opfer ausspioniert werden. McAfee informierte die koreanische Internet-Sicherheitsbehörde und auch Google darüber und die Malware wurde entfernt. Dank der schnellen Reaktion aller Beteiligten konnte die Malware zum Glück nicht viele Opfer erreichen. McAfee schätzt die Zahl auf unter 100.

RedDawn, Sun Teams neue Spionagekampange will nun an weitere Daten ihrer Opfer kommen. Die neue Malware soll Fotos und andere Daten entwenden und weiterleiten an die Hackergruppe. Dazu hat Sun Team drei neue Apps erstellt und wieder in den Google Play Store hochgeladen: Eine Foodapp „Food Ingredients Info“ und zwei Sicherheitsapps „FastAppLock“ und „AppLockFree“. McAfee Forscher fanden heraus, dass „FastAppLock“ Gerätedaten absaugt, und Befehle und ausführbare Dateien von einem Cloud-Steuerungsserver empfängt und versendet. AppLockFree dagegen sei laut den Forschern Teil der Erkundungsphase, die die Grundlage für den weiteren Angriff legt.

Die Apps wurden zuerst in Facebook-Gruppen, die Überläufer gerne nutzen, gepostet. Das wurde mittels gefälschter südkoreanischer Facebook-Profile (allerdings mehr schlecht als recht) und über den Facebook Messenger erreicht. So konnten sich die Apps auf Freunde der bisherigen Opfer verteilen, die aufgefordert wurden, sie zu installieren und entsprechendes Feedback zu geben. Nach der Installation sollte die Malware Daten über Dropbox und Yandex hochladen und versenden. Schon in ihrer ersten Angriffswelle im Januar verwendete Sun Team diese Clouddienste. Sie speicherte dort Informationsprotokolle von Android-Testgeräten. Diese Testgeräte wurden übrigens in verschiedenen Ländern hergestellt. Darauf waren koreanische Apps installiert und sie verwendeten modifizierte Versionen der öffentlich verfügbaren Sandbox-Escape-, Privilege Escalation- und Code Execution-Exploits, die zusätzliche Funktionen für die RedDawn-Trojaner bereitstellten.

McAfee-Forscher gehen davon aus, dass die beiden Angriffswellen von langer Hand vorbereitet wurden. Sun Team hätte sich große Mühe gegeben, ihre Opfer herauszupicken. Besonders bedenklich sei auch der Umfang der ausspionierten Informationen – darunter Anrufaufzeichnungen, Fotos und Kontakte und die Verwendung dieser Daten zum Identitätsdiebstahl. Besonders schwer betroffen sind die Opfer, deren Bilder gestohlen wurden. Es gibt sogar Hinweise auf den Diebstahl deren gesamter Identität.

Wer hinter Sun Team steckt, wissen die Forscher noch nicht so genau. Einiges deutet darauf hin, dass sie aus Nordkorea stammen oder zumindest für Nordkorea arbeiten – beispielsweise die verwendete IP-Adresse. Sicherheitsforscher gehen davon aus, dass diese Hackergruppe mit weiteren anders konstruierten Angriffen Überläufer attackiert – vermutlich auch unter Ausnutzung von Zero-Day-Schwachstellen.

Artikel von darkreading.com, 21.05.2018: North Korean Defectors Targeted with Malicious Apps on Google Play
Artikel von zdnet.com, 21.05.2018: North Korean defectors, journalists targeted through Google Play

Rechte Beitragsbild: Creative Commons CC0

Durch die weitere Nutzung der Seite stimmst du der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen. Wenn du diese Website ohne Änderung der Cookie-Einstellungen verwendest oder auf "Akzeptieren" klickst, erklärst du sich damit einverstanden.

Schließen