Исследователи антивирусной компании McAfee сообщили по крайней мере о трёх вредоносных приложениях в Google Play, крадущих личные данные пользователей Android-устройств. Но в отличие от других аналогичных поделок, эти приложения предназначались для идентификации дезертиров из Северной Кореи.
Два приложения были замаскированы под утилиты для настройки безопасности мобильного устройства, третье представляло собой справочник пищевых ингредиентов. Скрытые функции, имеющиеся в них, позволяли их создателям удалённо получать фотографии, контакты и сообщения.
Точно такое же вредоносное ПО впервые появилось в Google Play в январе этого года. Тогда исследователями был найден северокорейский IP-адрес в файле журнала на заражённом Android-устройстве, а также слова, которые использовались только в КНДР. Разработчиков прозвали Sun Team по аналогии с найденной папкой «Sun Team Folder». После уведомления Google, шпионское ПО удалили из Google Play.
На этой неделе компания McAfee снова обнаружила в Google Play аналогичные приложения. В них использовался тот же электронный адрес разработчика, а ссылки на них распространялись через Facebook*. По всей видимости, цели для хакерской группы были определены заранее. Это могли быть журналисты или просто граждане, сбежавшие из КНДР.
В McAfee считают, что разработчики не связаны с известными северокорейскими хакерами. Тем не менее, бэкдоры, генерация ключей шифрования и способ взаимодействия с удалённым сервером очень напоминают методы, используемые хакерской группой Lazarus, которой приписывают атаку на Sony Pictures в 2014 году и распространение вируса-вымогателя Wannacry. Не исключено, что это может быть отдельно созданная группа выходцев из Lazarus.
* Деятельность Meta* (соцсети Facebook* и Instagram*) запрещена в России как экстремистская.
