安卓用户遭遇伪装成放松程序的恶意软件攻击

一项针对韩国安卓设备的复杂新网络攻击已被发现，攻击者利用谷歌的资产追踪功能Find Hub远程擦除敏感用户数据。

威胁行为者伪装成心理咨询师和朝鲜人权活动家，分发伪装成减压程序的恶意软件，这标志着与臭名昭著的KONNI APT组织相关的国家支持攻击显著升级。

Genians安全中心(GSC)将此活动追踪至KONNI APT组织，该组织以与Kimsuky和APT37共享基础设施和目标而闻名，这些组织都与朝鲜政权有关联，此前曾被某些机构归类为单一实体。

联合国支持的多边制裁监测小组(MSMT)最近重申，KONNI和Kimsuky是独立但密切相关的组织，两者都在受制裁的63研究中心下运作。

值得注意的是，KONNI的最新攻击通过利用安卓设备和谷歌Find Hub扩展了其操作范围，Find Hub是一项旨在定位和保护丢失手机的合法服务。

调查人员首次确认，与国家有关的威胁行为者入侵了谷歌账户，然后滥用Find Hub来追踪受害者位置并调用远程设备擦除，清除重要的个人和工作数据。

社会工程学与初始入侵

攻击者通过冒充可信实体——支持朝鲜脱北青年的心理健康专业人士和人权活动家——来发起攻击活动，以获取可信度。

这些关系中固有的信任增加了受害者的易感性，而恶意软件则利用KakaoTalk的PC会话在联系人中进一步传播。

感染后，恶意脚本静默感染系统，建立持久性并进行实时侦察。

恶意软件与多个命令与控制(C2)服务器通信，允许对手安装额外模块以进行持续监视，包括网络摄像头和音频监控，这对没有物理活动指示器的设备尤其有效。

鱼叉式网络钓鱼策略包括发送声称来自国税厅的带有嵌入恶意文件的电子邮件，或使用KakaoTalk messenger分发"减压"软件。

数字取证分析显示，一旦获得初始访问权限，攻击者就会收集谷歌和Naver账户的凭据。

之后，攻击者打开谷歌的安全菜单，进入"您的设备"部分，并选择"查找我的手机"链接。

在Find Hub中注册的智能手机和平板电脑。

通过这种控制，他们登录谷歌安全仪表板，通过Find Hub定位设备，并执行多个远程重置命令。

这些操作触发了恢复出厂设置，禁用通信，并通过切断受害者与进一步通知或警报的联系来加剧影响。

被入侵的谷歌账户随后被用于通过KakaoTalk分发恶意软件，扩大覆盖范围并加强攻击。

恶意的"Stress Clear.zip"存档包含一个使用看似合法的数字证书签名的MSI包，从而避免了基本的安全检查。

‘Stress Clear.msi’文件仅在Windows操作系统上运行，在非兼容平台(如智能手机)上不可执行，因此这些设备不是感染目标。

执行时，嵌入的批处理文件和AutoIt脚本建立了持久性，映射计划任务，并分发其他模块，如RemcosRAT、QuasarRAT和RftRAT。

这些模块允许远程访问、键盘记录和进一步的数据外泄，同时规避传统的防病毒和网络控制。

这波攻击信号表明迫切需要强有力的安全措施。企业和个人应该：

鉴于这些行为者已证明有能力滥用合法平台功能(如Find Hub)，需要服务提供商和用户协同努力，验证远程擦除请求并强制执行认证所有权，减少机会性利用和级联数据丢失。

伪装成心理健康工具的安卓设备远程擦除恶意软件的出现，揭示了与国家相关的网络对手不断演变的策略，并凸显了主动、情报驱动的防御的必要性。