Android恶意软件瞄准谷歌Play商店

据McAfee报道，最近被黑客组织称为“Sun Team”的攻击已经通过谷歌Play商店中的恶意应用程序瞄准朝鲜的偏向攻击。

这被称为RedDawn ，这是今年第二个归属于该组织的活动，但它是第一个滥用合法Google Play店面进行恶意软件发布的公司。今年1月，该安全公司透露，朝鲜的反击者和记者是通过社交网络，电子邮件和聊天应用程序进行攻击的。

McAfee的安全研究人员发现，在Google Play上上传的恶意软件为“未发布”版本，并报告说通过应用程序市场仅发生大约100次感染。Google已经删除了恶意程序。

一旦安装，恶意软件就会开始复制设备中的敏感信息，包括个人照片，联系人和SMS消息，然后将它们发送给威胁演员。

McAfee发现这些黑客设法将三个应用程序上传到Google Play - 基于上次攻击中使用的电子邮件帐户和Android设备。这些应用程序包括食品成分信息，快速AppLock 和AppLockFree 。他们在Google Play中停留了大约2个月后才被移除。

食品配料信息和快速AppLock可以“偷偷窃取设备信息并从云控制服务器接收命令和其他可执行文件（.dex）。我们相信这些应用程序是多阶段的，有多个组件，“McAfee 报告。

另一方面，AppLockFree似乎是侦察阶段的一部分，为其他恶意软件奠定了基础。恶意程序将“传播给朋友，要求他们安装应用程序并通过带有虚假个人资料的Facebook帐户提供反馈”，以推广食品配料信息。

“感染设备后，恶意软件使用Dropbox和Yandex上传数据并发布命令，包括其他插件dex文件; 这与早期的Sun团队攻击类似。在这些云存储网站上，我们发现了Sun Team用于我们1月份报告的恶意软件活动的相同测试Android设备的信息日志，“McAfee报告。

日志具有相似的格式，并使用与以前与Sun Team相关的其他日志中的缩写。此外，黑客利用已知的Sun Team电子邮件地址为恶意软件的开发者提供服务。

该组织的恶意软件自2017年以来一直处于活动状态，并从那时起经历多个版本。黑客继续专注于从受感染设备中提取信息（他们只使用间谍软件）。

与之前的攻击相同，新的恶意软件显示使用韩语单词，Dropbox帐号命名使用类似的名人名称模式。这表明演员不是韩国本土人，而是熟悉文化和语言。

研究人员还发现，攻击者测试他们的恶意软件的Android设备是“在多个国家制造的，并且安装了韩国应用程序”。云存储中发现的漏洞代码揭示了“公开提供的沙盒转义版本，权限升级，代码执行漏洞“增加了在受感染设备上放置自定义木马的功能。

“修改后的漏洞攻击表明攻击者没有足够的技巧来找到零时间并编写自己的漏洞。然而，他们开始利用漏洞可能只是时间问题，“研究人员指出。

Sun Team黑客被观察到使用来自社交网络的照片和韩国人的身份创建假帐户。除了窃取身份之外，黑客正在使用短信和电话服务来生成虚拟电话号码，以便他们在韩国注册在线服务。