Ngày 17 tháng 2 năm 2023Ravie LakshmananBảo mật di động / Đe dọa mạng
Các diễn viên nhà nước quốc gia bị nghi ngờ của Bắc Triều Tiên đã nhắm mục tiêu một nhà báo ở Hàn Quốc bằng một ứng dụng android có phần mềm độc hại như một phần của chiến dịch kỹ thuật xã hội.
Những phát hiện đến từ Interlab phi lợi nhuận có trụ sở tại Hàn Quốc, nơi đã tạo ra phần mềm độc hại mới Dông.
Các chức năng độc hại bao gồm “khả năng đọc và rò rỉ danh sách liên lạc, SMS, nội dung cuộc gọi thoại, vị trí và những thứ khác của mục tiêu từ thời điểm xâm nhập vào mục tiêu”, nhà nghiên cứu mối đe dọa của Interlab Ovi Liber cho biết trong một báo cáo được công bố trong tuần này.
Phần mềm gián điệp ngụy trang dưới dạng một ứng dụng trò chuyện an toàn có tên Fizzle (ch.seme), nhưng trên thực tế, hoạt động như một đường dẫn để phân phối tải trọng giai đoạn tiếp theo được lưu trữ trên pCloud và Yandex.
Ứng dụng trò chuyện được cho là đã được gửi dưới dạng tệp Gói Android (APK) qua WeChat tới nhà báo bị nhắm mục tiêu vào ngày 7 tháng 12 năm 2022, với lý do muốn thảo luận về một chủ đề nhạy cảm.
Mục đích chính của RambleOn là hoạt động như một trình tải cho tệp APK khác (com.data.WeCoin) đồng thời yêu cầu quyền xâm nhập để thu thập tệp, truy cập nhật ký cuộc gọi, chặn tin nhắn SMS, ghi âm và dữ liệu vị trí.
Về phần mình, tải trọng thứ cấp được thiết kế để cung cấp một kênh thay thế để truy cập vào thiết bị Android bị nhiễm bằng cách sử dụng Firebase Cloud Messaging (FCM) dưới dạng cơ chế ra lệnh và kiểm soát (C2).
Interlab cho biết họ đã xác định được sự chồng chéo trong chức năng FCM giữa RambleOn và FastFire, một phần mềm gián điệp Android được công ty an ninh mạng S2W của Hàn Quốc gán cho Kimsuky vào năm ngoái.
“Nạn nhân của sự kiện này rất phù hợp với phương thức hoạt động của các nhóm như APT37 và Kimsuky,” Liber nói, đồng thời chỉ ra việc nhóm trước sử dụng bộ lưu trữ pCloud và Yandex để phân phối tải trọng và ra lệnh và kiểm soát.
