Неизвестное ранее шпионское ПО для Android нацелено на журналистов Южной Кореи

Хакеры используют облачные сервисы и мессенджеры для управления программой.​

wy5auiooxkb3jagglqw640lj2dcijohj.jpg

Северокорейские правительственные хакеры шпионят за журналистами Южной Кореи с помощью заражённого приложения для Android в рамках кампании социальной инженерии. Об этом сообщила южнокорейская некоммерческая организация Interlab, обнаружившая новое вредоносное ПО RambleOn.

Приложение открывает доступ к списку контактов цели, SMS-сообщениям, голосовым вызовам, местоположению и другим данным. Шпионское ПО маскируется под анонимный мессенджер Fizzle ( ch.seme ), но на самом деле действует как канал для доставки полезной нагрузки следующего этапа, размещенной в облаках pCloud и Яндекс.

Сообщается, что приложение было отправлено 7 декабря 2022 года в виде APK-файла в китайском мессенджере WeChat южнокорейскому журналисту под предлогом желания обсудить деликатную тему.

Основная цель RambleOn — функционировать в качестве загрузчика для другого APK-файла ( com.data.WeCoin ), а также запрашивать разрешения на сбор файлов, доступ к журналам вызовов, перехват SMS-сообщений, запись аудио и данные о местоположении. Вторичная полезная нагрузка открывает канал для доступа к зараженному Android-устройству с использованием защищённого мессенджера Firebase Cloud Messaging (FCM) в качестве сервера управления и контроля ( C2 , C&C).

aqohizqudmbl28h4uss15jtq76jxxrx7.png
Цепочка заражения RambleOn Interlab обнаружила совпадения в функциональности FCM в кампаниях RambleOn и FastFire , частью шпионского ПО для Android, которое исследователи кибербезопасности из Южной Кореи приписали группировке Kimsuky . Кроме того, виктимология группы очень тесно согласуется с методами работы группировки [URL='/glossary/APT37/" class="glossary" data-content=" Команда правительственных хакеров из Северной Кореи. Другие возможные названия: Group123, ScarCruft, Reaper. Принадлежность к Северной Корее выдают IP-адреса, временные метки (UTC +8:30) и выбор зарубежных целей, явно отражающий изменения во внешней политике КНДР.

APT37 действует по меньшей мере с 2012 года и нацеливается на государственный и частный секторы, главным образом в Южной Корее. В 2017 году APT37 расширила свою деятельность за пределы Корейского полуострова, охватив Японию, Вьетнам и Ближний Восток, а также более широкий спектр отраслей промышленности, включая химическую, электронную, производственную, аэрокосмическую, автомобильную и медицинскую.

Основные техники APT37:

  • Распространение вредоносных программ через торрент-сайты.
  • Запуск целевого фишинга по электронной почте.
  • Использование различных методов социальной инженерии, чтобы заставить пользователей загружать и запускать поврежденные файлы.
  • Проникновение в службы и веб-сайты с целью их захвата и использования для распространения вредоносных программ.

" data-html="true" data-original-title="APT37" >APT37[/URL] .