Поделиться
Северокорейские хакеры научились удаленно стирать содержимое смартфонов на Android
Хакеры из Северной Кореи, предположительно принадлежащие к группировке APT37, удаленно стирают содержимое накопителя Android-девайсов жителей Южной Кореи после установления контроля над ПК, хищением чувствительной информации и захвата аккаунта в главном южнокорейском мессенджере KakaoTalk.Сбросить Android-девайс удаленно
Северокорейские хакеры удаленно стирают содержимое устройств под управлением мобильной операционной системы Android.
По сообщению Bleeping Computer, делается это при помощи легитимного сервиса «Портал поиска» корпорации Google, разработчика Android (AOSP). Жертвами новой кампании в основном становятся жители Южной Кореи, по тем или иным причинам попавшие в поле интереса хакеров.
В инструментарии злоумышленников – метод целевого фишинга. На контакт с жертвой хакеры выходят посредством популярного в Южной Корее мессенджера KakaoTalk, разработкой которого занимается местная Kakao Corporation.
Специалисты по кибербезопасности из компании Genians связывают новую кампанию с северокорейскими группировками APT37 (ScarCruft) и Kimsuky (Emerald Sleet), использующие инструмент удаленного доступа Konni.
Целью новой кампании Konni является заражение персональных компьютеров жертв вредоносным программным обеспечением для извлечения конфиденциальной информации. Эксперты рассматривают дистанционное удаление данных на мобильных устройствах жертв как попытку добиться изоляции подвергшихся атаке людей, замести свои следы максимально усложнить процесс восстановления после атаки.
Кроме того, сброс Android-устройства до заводских настроек позволяет добиться разрыва сессии KakaoTalk на ПК жертвы. В дальнейшем аккаунт в мессенджере используется хакерами для распространения фишинговых сообщений среди списка контактов подвергшегося атаке.
Все начинается с заражения ПК
В рамках кампании Konni, изученной аналитиками Genians, на первом этапе жертвам через мессенджер рассылаются сообщения, замаскированные под уведомления от различных южнокорейских государственных структур – Национальной налоговой службы Кореи, полиции и других организаций.
Сообщение содержит вложение в виде подписанного установочного пакета Windows (файл с расширением MSI) или ZIP-архива с MSI-файлом внутри. Если жертва целевого фишинга (spear phishing) решается загрузить и запустить этот инсталлятор, то срабатывают сценарии install.bat и error.vbs, внедренные в соответствующий MSI-файл. Скрипт с расширением VBS, написанный на языке программирования VBScript, используется для отвлечения внимания пользователя путем вывода на экран фальшивого сообщения об ошибке установки некоего языкового пакета (“language pack error”).
BAT-скрипт, в свою очередь, отправляет на выполнение сценарий типа AutoIT (файл IoKITr.au3), позволяющий злоумышленнику закрепиться в системе при помощи механизма планирования заданий Windows. Затем скрипт подгружает дополнительные модули с командного сервера в интернете, которые предоставляют хакерам удаленный доступ к зараженной системе, возможность отслеживания нажатия клавиш на клавиатуре компьютера (keylogging), а также обеспечивают скачивание следующей порции вредоносного ПО.
По сообщению Genians, она включает трояны удаленного доступа, такие как RemcosRAT, QuasarRAT и RftRAT. Именно эти инструменты используются для извлечения данных учетных записей жертвы в сервисах Google и южнокорейского интернет-гиганта Naver. Получив учетные данные, злоумышленники входят в скомпрометированные аккаунты, меняют настройки безопасности и проводят чистку логов, тем самым заметая следы взлома.
Сброс устройства через Google Find Hub
Взяв под контроль учетную запись Google жертвы, злоумышленники переходят на «Портал поиска» Google для получения перечня подключенных к сервису устройств и отслеживания их местоположения при помощи GPS.
«Портал поиска» (Google Find Hub) позволяет владельцу Android-девайса найти его в случае хищения или утери, дистанционно заблокировать и сбросить его до заводских настроек, что также предполагает стирание всех пользовательских данных и приложений, сохраненных на устройстве. Это стандартный инструмент, как правило, доступный всем пользователям Android. Нередко производители смартфонов предлагают аналоги собственной разработки.
Анализ ПК нескольких жертв кампании Konni, проведенный Genians, что во всех случаях злоумышленники использовали инструмент Google для форматирования пользовательского раздела смартфонов, принадлежащих жертвам. Одной из них стал, по информации аналитиков, молодой человек, недавно бежавший из Северной Кореи в Южную. Фишинговая атака на него была осуществлена 5 сентября 2025 г. через скомпрометированный аккаунт в KakaoTalk психолога, с которым работал юноша.
Исследователи утверждают, что злоумышленники отслеживали перемещение жертвы через «Портал поиска» Google перед тем, как удалить все данные со всех привязанных к сервису устройств, с целью застать его врасплох, вдалеке от дома – так у подвергшегося атаке молодого человека было меньше шансов адекватно отреагировать на ситуацию и принять меры. Причем сброс девайсов до заводских настроек проводился трижды, чтобы усложнить жертве восстановление утраченной информации.
15 сентября специалисты Genians зафиксировали аналогичную атаку на другого пользователя Android.
В Google рекомендуют пользователям активировать двухфакторную аутентификацию или сгенерировать ключи доступа (Passkey) для сервисов американского интернет-гиганта во избежание попадания в ситуацию, схожую с той, в которой оказались жертвы Konni.
Как ранее сообщил CNews, в январе 2023 г. APT37 начала рассылать пользователям в Южной Корее фишинговые письма, которые эксплуатировали старую уязвимость в текстовом процессоре Hangul (CVE-2017-8291). Используемый операторами атак эксплойт запускает шелл-код, который скачивает графический файл в формате JPEG, и запускает скрытый в нем вредонос.
Поделиться
Короткая ссылка
