Hackers da Melhor Coreia usam engenharia social para roubar dados de desertores e jornalistas

"Hackers" e "Coreia do Norte" são duas expressões que juntas não fariam sentido para muita gente em outros tempos, e como bem sabemos subestimar o adversário é um erro mortal. O governo de Pyongyang conta com mais de 6.000 "soldados" especializados em ataques cibernéticos, e são capazes de fazer grandes estragos; obviamente, o de eles não operarem diretamente da Melhor Coreia dificulta o trabalho das autoridades em rastrea-los.

As ações dos hackers norte-coreanos vão desde ataques a bancos (aquele roubo de US$ 81 milhões do banco central de Bangladesh em 2016, que só não foi maior por causa de um typo foi obra deles) e roubo de bitcoins, mas perseguir e monitorar desafetos e olheiros do regime do Grande Líder também é uma uma de suas atribuições (estão sendo pagos para isso, afinal): em janeiro a McAfee Labs revelou a existência de um malware chamado Dropper, incluído em dois apps para Android com poucos downloads, que eram acessados principalmente por cidadãos norte-coreanos fora do país.

Uma análise detalhada mostrou que os alvos, preferencialmente desertores do regime e jornalistas correspondentes na Coreia do Sul eram contatados através do Facebook ou do app de mensagens KakaoTalk, bastante popular no país enviando links disfarçados para o download dos apps via arquivo .APK. Quando acionados, o malware chamado Dropper coletava dados do dispositivo e criava um canal através de serviços como Dropbox, Yandex ou Google Drive para receber comandos e roubar dados como lista de contatos, SMS e fotos pessoais.

Agora foi a vez da Google Play Store. Pelo menos três apps, dois disfarçados de softwares de segurança e um que dava dicas sobre ingredientes continham outro malware que uma vez instalado procedia da mesma forma que o Dropper. Segundo a McAfee, em ambos os casos os apps utilizam expressões comuns na Coreia do Norte mas não na Coreia do Sul, sem falar que foram encontrados endereços IP do regime de Kim Jong-un nos logs dos dispositivos infectados. Curiosamente o número de downloads não era alto, cerca de 100 de cada um e a maior parte dos afetados foram novamente dissidentes e jornalistas da Melhor Coreia, contatados através do Facebook na maioria dos casos por onde receberam os links para baixar os apps.

Os especialistas em segurança acreditam que os dois casos foram perpetrados por grupos de hackers distintos, identificados como Sen Team e Lazarus que possuem o mesmo objetivo e fariam parte do grande exército de ladrões digitais da Melhor Coreia, mostrando que eles não agem como um único órgão; pelo menos, não o tempo todo. De qualquer forma, o Google já removeu os ditos apps de sua lojinha e deverá, ao menos em teoria reforçar a segurança para evitar que os hackers consigam injetar mais apps maliciosos na plataforma.

Fonte: Ars Technica.