Noord-Korea verspreidt via Google Play spyware gericht op ‘overlopers’

Onderzoekers van McAfee zijn een hackerscampagne tegengekomen die gelinkt wordt aan Noord-Korea. De cybercriminelen gebruiken daarbij Google Play voor het hosten van op z’n minst drie Android-apps, die stiekem persoonlijke informatie stelen van deserteurs (militairen die het leger verlaten of overlopen) van het afgezonderde land.

De apps verschenen in januari voor het eerst in de officiële Android-marktplaats. Nadat Google werd ingelicht over de situatie werden de diensten in maart verwijderd, geeft McAfee aan. Twee apps deden zich voor als security-diensten, een andere zou informatie leveren over voedselingrediënten. Verborgen functies zorgden er echter voor dat er gegevens over het apparaat gestolen kunnen worden. Ook was het mogelijk om code te ontvangen voor het stelen van persoonlijke foto’s, contactlijsten en tekstberichten.

De campagne richtte zich op specifieke individuen, vaak door contact te leggen via Facebook. Voordat Google de apps verwijderden waren ze zo’n 100 keer gedownload. Dit is op zich gebruikelijk bij spionage door landen, aangezien zorgvuldig geselecteerde doelwitten er toe kan leiden dat de aanvallen onopgemerkt blijven.

Raj Samani, Chief Scientist bij McAfee, spreekt dan ook over een zeer doelgerichte aanval. Er werd veel werk gestoken in het identificeren van specifieke personen en groepen. Hij vindt het vooral zorgelijk dat de gegevens die buit zijn gemaakt zeer gevoelige informatie over de slachtoffers bevatten. Het gaat bijvoorbeeld ook over gespreksopnamen. De praktijken vonden op zijn minst plaats sinds oktober 2017.

Connectie met Noord-Korea

McAfee ontdekte dat de drie apps hetzelfde e-mailadres gebruiken als een campagne waar het security-bedrijf in januari over berichtte. De campagne van destijds richtte zich op Noord-Koreaanse journalisten en deserteurs. De connectie tussen de twee aanvallen kan erop wijzen dat dezelfde ontwikkelaars verantwoordelijk zijn voor de twee aanvallen, McAfee noemt de groepering Sun Team vanwege een aangetroffen map genaamd ‘Sun Team Folder’.

Bovendien maken logs van de nieuwe apps op bepaalde gebieden gebruik van dezelfde formaten en afkortingen als de eerdere campagne. De recent ontdekte diensten bevatten Koreaans geschreven teksten. Daarmee lijkt er voldoende bewijs dat Noord-Korea achter de aanval zit.