Hackers norte-coreanos usaram apps de Android para espionar desertores

1 min de leitura
Imagem de: Hackers norte-coreanos usaram apps de Android para espionar desertores

Ao menos três aplicativos para Android foram utilizados por hackers norte-coreanos para espionar desertores, informou nesta quinta-feira (17) uma equipe de pesquisadores da McAfee. Um aplicativo de receitas e dois de segurança, todos falsos, ficaram de janeiro até março deste ano na Play Store antes de serem removidos pela Google.

Os três aplicativos teriam sido criados pelo grupo hacker Sun Team e dois deles, o Food Ingredients Info e o Fast AppLock, roubavam informações do dispositivo e recebiam comandos e arquivos executáveis no formato DEX a partir de um servidor remoto. Os especialistas acreditam que o terceiro app, chamado de AppLockFree, servia para definir as bases de uma próxima fase dos ataques.

Todos eles, porém, agiam de forma semelhante ao se espalharem para os contatos da pessoa infectada, convidando a todos que também instalassem a mesma aplicação. Os convites eram enviados automaticamente pelo Facebook, ou seja, além de usar a plataforma Android, a espionagem usufruía também dos caminhos abertos pela principal rede social do mundo.

McAfeeMalwares espionavam desertores norte-coreanos e ficaram por mais de dois meses na Play Store.

Segundo os pesquisadores da McAfee, o método usado por esses aplicativos, de usar contas do Dropbox e do Yandex para armazenar os dados roubados e também o uso de plugins adicionais em forma de arquivos DEX, é típico de outras ações previamente realizadas pelo Sun Team. “Os registros tinham um formato similar e usavam as mesmas abreviações nos campos que outros registros do Sun Team”, informam os especialistas.

Ainda conforme as investigações feitas pela equipe de segurança da McAfee, palavras típicas da Coreia do Norte e até mesmo um IP do país foram encontrados. Além disso, informações obtidas pelos pesquisadores indicam que os dispositivos usados para testar os ataques continham apps em coreano, indicando que os atacantes podiam ler esse idioma.

Fontes

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.