Álruhás támadások és élő vírusterjesztés
A KONNI hackerbanda főként dél-koreai közszolgákat, katonai tiszteket és kutatóintézeti dolgozókat céloz. A támadássorozat gyakran a népszerű KakaoTalk csevegőalkalmazáson keresztül indul: a támadók ártalmatlannak látszó fájlokat küldenek, vagy hamis MSI-telepítőket és ZIP-csomagokat juttatnak el az áldozatokhoz, amivel kártékony programokat csempésznek a készülékekre. Ezzel megszerzik az áldozatok Google- és Naver-fiókadatait, majd az Eszköz keresése (Find My Device) – eredetileg eltűnt vagy ellopott eszközök felkutatására kitalált – funkcióval törlést hajtanak végre.
Bizonyítékok eltüntetése egy gombnyomással
Miután törölték a telefont, a hacker még mindig hozzáfér az áldozat KakaoTalk asztali alkalmazásához, amelynek segítségével az áldozat ismerőseihez továbbít újabb, vírussal fertőzött fájlokat, így egyetlen feltört fiók is tömeges fertőzést indíthat el. A Google helymeghatározó funkcióját is kihasználták: megvárták, amíg az áldozat a szabadban tartózkodik, mert ilyenkor kisebb az esélye annak, hogy gyorsan reagál. Egyes esetekben a törlésparancsot háromszor is leadták egymás után, hogy az áldozatok minél tovább maradjanak kizárva saját eszközeikből.
A „lopott telefon” védelemből titkosszolgálati fegyver
A KONNI évek óta a hagyományos kémkedési módszereket vegyíti új trükkökkel: korábban Windows-vírusokkal és hamis dokumentumokkal dolgozott, most viszont a felhőalapú szolgáltatások hibáit is kihasználja. Az ilyen támadások rávilágítanak arra, hogy az online identitáshoz kötött „elveszett eszköz” funkciók visszájára is fordulhatnak – ha a fiók jelszava odavész, a készülék egyetlen kattintással üres és bizonyítékmentes lesz.
A Genians azt tanácsolja: mindenki kapcsolja be a kétlépcsős hitelesítést vagy a biometrikus azonosítást, ha a Google Eszköz keresése (Find My Device) alkalmazást használja. Az áldozatok számára viszont már késő – a törölt adatokat semmi sem hozza vissza, a hackerek pedig nyomtalanul eltűnnek.
