Os hackers ligados à Coreia do Norte estão a utilizar uma ferramenta legítima da Google contra os próprios utilizadores. Um novo relatório da empresa de cibersegurança sul-coreana Genians revela que o "Find Hub" (a funcionalidade "Encontrar o meu dispositivo" do Android) está a ser explorado para localizar alvos através de GPS e apagar remotamente os seus dispositivos. O objetivo final é isolar a vítima para facilitar a propagação do ataque.
A anatomia do ataque
Esta campanha, que a Genians associa ao grupo KONNI (com ligações ao Kimsuky e APT37), começa de forma clássica: uma mensagem de spear-phishing. Os alvos, maioritariamente sul-coreanos, são contactados através do KakaoTalk (a app de mensagens instantâneas mais popular do país) com iscos que imitam a polícia ou o serviço nacional de impostos.
A mensagem contém um anexo malicioso (MSI ou ZIP) que, ao ser aberto, exibe um falso erro de "pacote de idioma" para distrair o utilizador. Nos bastidores, o ficheiro instala um trojan de acesso remoto (RAT), como o RemcosRAT ou QuasarRAT, no computador da vítima.
O Google Find Hub como arma
O objetivo dos atacantes é roubar as credenciais da conta Google e Naver (um portal popular na Coreia do Sul) guardadas no computador. Com este acesso, os hackers conseguem entrar no Google Find Hub. Esta é a ferramenta legítima do Android, conhecida como "Encontrar o meu dispositivo", que permite aos utilizadores localizar, bloquear ou apagar os seus telemóveis em caso de roubo ou perda.
O golpe final: apagar o telemóvel para silenciar alertas
Porque é que os hackers se dão a este trabalho? Para silenciar a vítima. A análise forense da Genians detalha que os atacantes usam a função de GPS do Find Hub para monitorizar o alvo. Quando confirmam que a vítima está fora de casa (e longe do computador), ativam o comando de restauro de fábrica do Android.
Num dos casos analisados, o comando foi executado três vezes para impedir qualquer recuperação. Ao apagar o telemóvel, os atacantes garantem que a vítima não recebe alertas de segurança e fica isolada. Com o telemóvel neutralizado, os hackers regressam ao computador já comprometido e usam a sessão de KakaoTalk PC da vítima para espalhar o malware aos seus contactos.
Para se proteger deste tipo de ataque, a Genians sublinha a importância de proteger as contas Google com autenticação multi-fator (MFA) e garantir o acesso a contas de recuperação. Além disso, é vital desconfiar de ficheiros inesperados recebidos por apps de mensagens, mesmo que venham de contactos conhecidos.
Nenhum comentário
Seja o primeiro!