Les hackers de la Corée du Nord utilisent de faux comptes Facebook pour diriger les utilisateurs vers des logiciels malveillants dans Google Play.

Les négociations à venir entre la Corée du Nord et les États-Unis pourraient être un signe de son ouverture, mais le royaume des ermites ne veut pas laisser son peuple être autonome pour l’instant.

Sun Team, un groupe de pirate que l’on croit loyal au royaume des ermites, utilise des profils Facebook sud-coréens piratés et des malwares Android dans Google Play pour repérer les identifiants de connexion.

La combinaison de faux profils Facebook utilisés pour diffuser des liens vers des applications malveillantes sur Google Play est un raffinement des techniques d’attaque mobiles découvertes précédemment pour espionner les utilisateurs.

En janvier, les médias sud-coréens ont rapporté que des hackers utilisant l’application de messagerie KakaoTalk et de faux comptes Facebook pour envoyer des liens aux raccourcis URL goo.gl de Google, ont amené les victimes à télécharger des applications infectés pour des journalistes nord-coréens.

Les deux applications incluent un cheval de Troie qui a téléchargé des données et reçu des commandes de comptes sur Dropbox et Yandex, selon le cabinet de sécurité McAfee.

Les analystes de McAfee effectuant des recherches sur les rapports ont découvert un dossier dans les comptes Dropbox et Yandex nommé « Sun Team Folder », ce qui les a amenés à appeler le groupe « Sun Team ».

Selon McAfee, le même groupe a désormais intégré le support de Google Play pour les «applications inédites» afin d’inciter les victimes à installer des applications malveillantes capables de siphonner les photos, les contacts et les SMS d’un utilisateur.

Les attaquants utilisent encore de faux comptes Facebook pour diffuser des liens, mais au lieu de diriger les victimes vers un site Web aléatoire, les victimes sont dirigées vers une partie officielle de Google Play.

La technique exploite une fonctionnalité conçue pour aider les développeurs Android à lancer des applications bêta sur Google Play afin que les utilisateurs avertis puissent fournir des retours rapides.

Bien que utile pour les vrais développeurs, il a également aidé l’équipe Sun à utiliser la réputation de Google pour tromper les cibles dans l’installation de logiciels malveillants.

Les applications inédites sur Google Play comprennent AppLockFree et Fast AppLock, deux applications de sécurité et une autre application liée à la santé appelée « Food Ingredients Info ». Google a supprimé les applications après avoir été averti par McAfee.

Alors que chacune des trois applications ne disposait que de 100 téléchargements, tous les utilisateurs sud-coréens qui ont installé les applications malveillantes auraient automatiquement envoyé des demandes d’installation à leurs contacts, ce qui pourrait donner à l’attaquant un aperçu de leurs connexions.

L’utilisation astucieuse de la fonction bêta de Google Play est alarmante, mais les chercheurs de McAfee préviennent que les plus gros profils Facebook sud-coréens piratés présentent une plus grande menace pour de futures attaques.

« La chose la plus préoccupante à propos de cette opération Sun Team est qu’ils utilisent des photos téléchargées sur les services de réseaux sociaux et les identités des Sud-Coréens pour créer de faux comptes. Nous avons trouvé des preuves que certaines personnes ont eu leur identité volée. Ils utilisent les textos et les services d’appel pour générer des numéros de téléphone virtuels afin qu’ils puissent s’inscrire aux services en ligne sud-coréens », a déclaré McAfee.

Découvrez pourquoi Google a rassemblé tous les comptes en un seul ?

Accédez maintenant à un nombre illimité de mot de passe :
Découvrez nos logiciels de piratage