Hackers norte-coreanos estão explorando a ferramenta Find My Device, do Google, para rastrear a localização por GPS de suas vítimas e resetar remotamente dispositivos Android para as configurações de fábrica.
Os ataques têm como foco principal cidadãos sul-coreanos e começam com abordagens via KakaoTalk, o aplicativo de mensagens instantâneas mais popular na Coreia do Sul.
A empresa sul-coreana de segurança cibernética Genians atribui essa atividade maliciosa a um grupo conhecido como KONNI, que compartilha alvos e infraestrutura com os grupos de hackers Kimsuky e APT37.
O KONNI é associado a um tipo de remote access tool (RAT) vinculado a ataques de hackers norte-coreanos, especialmente dos grupos APT37 (também chamado ScarCruft) e Kimsuky (Emerald Sleet).
Esses ataques atingem diversos setores, como educação, governo e criptomoedas.
Segundo a Genians, a campanha do grupo KONNI infecta os computadores das vítimas com trojans de acesso remoto que capturam dados sensíveis para exfiltração.
A limpeza dos dispositivos Android tem como objetivo isolar as vítimas, eliminar rastros do ataque, atrasar a recuperação e neutralizar alertas de segurança.
O reset desconecta a vítima das sessões do KakaoTalk no PC, que os invasores passam a controlar para espalhar arquivos maliciosos aos contatos da vítima.
A campanha analisada utiliza spear-phishing com mensagens falsas que se passam por órgãos como a National Tax Service da Coreia do Sul, a polícia e outras agências governamentais.
Quando a vítima executa um anexo MSI digitalmente assinado (ou um arquivo .ZIP que o contenha), ele dispara scripts adicionais, como install.bat e error.vbs — este último usado como isca para enganar o usuário com uma mensagem falsa de “erro no pacote de idioma”.
O script BAT ativa um código AutoIT (IoKITr.au3) que garante persistência no dispositivo por meio de uma tarefa agendada.
Esse script baixa módulos extras de um servidor de comando e controle (C2) e oferece aos invasores acesso remoto, keylogging e a capacidade de introduzir payloads adicionais.
Entre as payloads secundárias recuperadas estão os RATs RemcosRAT, QuasarRAT e RftRAT.
Essas ferramentas são usadas para coletar credenciais das contas Google e Naver das vítimas, permitindo que os invasores acessem Gmail e Naver Mail, alterem configurações de segurança e apaguem registros de compromissos.
Com a conta Google comprometida, o atacante usa o Google Find My Device para identificar os dispositivos Android registrados e consultar suas localizações por GPS.
O Find My Device é a ferramenta padrão do Android para localizar, bloquear ou até apagar remotamente dispositivos em caso de perda ou roubo.
A análise forense realizada pela Genians em vários sistemas afetados revelou que o atacante executou a limpeza remotamente por meio de comandos do Find My Device.
Em nota, os pesquisadores da Genians relatam: “Na manhã de 5 de setembro, um ator malicioso comprometeu e abusou da conta KakaoTalk de um conselheiro sul-coreano que presta suporte psicológico a jovens desertores norte-coreanos, enviando um arquivo malicioso disfarçado de ‘programa para alívio de estresse’ a um desses estudantes.”
Os invasores usaram o recurso de rastreamento por GPS para escolher um momento em que a vítima estivesse fora, dificultando uma resposta rápida.
Durante o ataque, os comandos de reset remoto foram aplicados a todos os dispositivos Android registrados, resultando na exclusão completa de dados críticos.
Os comandos de limpeza foram executados três vezes, prolongando a indisponibilidade dos aparelhos.
Com os alertas móveis neutralizados, o invasor usou a sessão do KakaoTalk do PC da vítima — já comprometido — para distribuir arquivos maliciosos aos contatos.
No dia 15 de setembro, a Genians detectou um ataque semelhante a outra vítima, usando a mesma técnica.
Para se proteger, recomenda-se ativar a autenticação multifator nas contas Google e garantir acesso rápido às contas de recuperação.
Além disso, ao receber arquivos via aplicativos de mensagens, é fundamental confirmar diretamente a identidade do remetente antes de fazer o download ou abrir qualquer arquivo.
O relatório da Genians traz uma análise técnica detalhada do malware utilizado, além de uma lista de indicadores de comprometimento (IoCs) relacionados a essa atividade.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...