Новости Неизвестное ранее шпионское ПО для Android нацелено на журналистов Южной Кореи

[NewsMaker]

Хакеры используют облачные сервисы и мессенджеры для управления программой.​

---

---

Северокорейские правительственные хакеры шпионят за журналистами Южной Кореи с помощью заражённого приложения для Android в рамках кампании социальной инженерии. Об этом Для просмотра ссылки Войди или Зарегистрируйся южнокорейская некоммерческая организация Interlab, обнаружившая новое вредоносное ПО RambleOn.

Приложение открывает доступ к списку контактов цели, SMS-сообщениям, голосовым вызовам, местоположению и другим данным. Шпионское ПО маскируется под анонимный мессенджер Fizzle ( Для просмотра ссылки Войди или Зарегистрируйся ), но на самом деле действует как канал для доставки полезной нагрузки следующего этапа, размещенной в облаках pCloud и Яндекс.

Сообщается, что приложение было отправлено 7 декабря 2022 года в виде APK-файла в китайском мессенджере WeChat южнокорейскому журналисту под предлогом желания обсудить деликатную тему.

Основная цель RambleOn — функционировать в качестве загрузчика для другого APK-файла ( Для просмотра ссылки Войди или Зарегистрируйся ), а также запрашивать разрешения на сбор файлов, доступ к журналам вызовов, перехват SMS-сообщений, запись аудио и данные о местоположении. Вторичная полезная нагрузка открывает канал для доступа к зараженному Android-устройству с использованием защищённого мессенджера Firebase Cloud Messaging (FCM) в качестве сервера управления и контроля ( Для просмотра ссылки Войди или Зарегистрируйся , C&C).

---

---

Цепочка заражения RambleOn Interlab обнаружила совпадения в функциональности FCM в кампаниях RambleOn и Для просмотра ссылки Войди или Зарегистрируйся , частью шпионского ПО для Android, которое исследователи кибербезопасности из Южной Кореи приписали группировке Для просмотра ссылки Войди или Зарегистрируйся . Кроме того, виктимология группы очень тесно согласуется с методами работы группировки [URL='/glossary/APT37/" class="glossary" data-content=" Команда правительственных хакеров из Северной Кореи. Другие возможные названия: Group123, ScarCruft, Reaper. Принадлежность к Северной Корее выдают IP-адреса, временные метки (UTC +8:30) и выбор зарубежных целей, явно отражающий изменения во внешней политике КНДР.

APT37 действует по меньшей мере с 2012 года и нацеливается на государственный и частный секторы, главным образом в Южной Корее. В 2017 году APT37 расширила свою деятельность за пределы Корейского полуострова, охватив Японию, Вьетнам и Ближний Восток, а также более широкий спектр отраслей промышленности, включая химическую, электронную, производственную, аэрокосмическую, автомобильную и медицинскую.

Основные техники APT37:

• Распространение вредоносных программ через торрент-сайты.
• Запуск целевого фишинга по электронной почте.
• Использование различных методов социальной инженерии, чтобы заставить пользователей загружать и запускать поврежденные файлы.
• Проникновение в службы и веб-сайты с целью их захвата и использования для распространения вредоносных программ.

" data-html="true" data-original-title="APT37" >APT37[/URL] .