Trükkös adathalász támadások
A támadók megpróbálják a dél-koreai Nemzeti Adóhivatalt vagy más hivatalos szervet megszemélyesítve rávenni az áldozatokat arra, hogy megnyissanak egy digitálisan aláírt, ártalmatlannak tűnő MSI-csatolmányt vagy ZIP-fájlt. Ha az áldozat megnyitja a fájlt, a háttérben elindít egy install.bat és egy error.vbs szkriptet, amelyek hamis hibaüzenettel próbálják elterelni a figyelmet.
A támadás során egy AutoIt szkript (IoKITr.au3) gondoskodik arról, hogy a rendszer újraindítás után is fertőzött maradjon, tehát tartósan jelen legyen a kompromittált gépen. Ezt követően további kártékony modulok töltődnek le, mint például a keyloggerek, illetve a RemcosRAT, QuasarRAT, RftRAT nevű távoli hozzáférésű trójai programok.
Fiókfeltörés és mobil törlés
Miután a támadók megszerezték a Google- és Naver-belépési adatokat, képesek bejelentkezni az áldozatok Gmail- és Naver-fiókjaiba, megváltoztatni a biztonsági beállításokat, illetve törölni a támadás nyomait. A megszerzett jogosultságokkal bejelentkeznek a Google Eszközkereső (Find My Device) felületére, ahol pontosan látják, hol tartózkodik az áldozat, és egyetlen gombnyomással törölhetik az összes regisztrált Android-eszközt.
Dél-koreai vizsgálatok szerint a támadók kihasználták ezt arra is, hogy egy, Észak-Koreából átszökött diákokat segítő tanácsadó összes eszközét töröljék, miközben a célpont az utcán tartózkodott, és így nem tudott azonnal reagálni. A támadás során többször egymás után adtak ki törlési parancsot, hogy teljesen ellehetetlenítsék az adatok visszaállítását. Ettől függetlenül a kompromittált KakaoTalk-fiók PC-s változatán keresztül a kapcsolataikat tovább tudták fertőzni.
Védekezési lehetőségek
Ennek alapján megállapítható, hogy a többtényezős hitelesítés bekapcsolása és egy biztonsági helyreállító fiók beállítása jelentősen nehezíti a támadók dolgát. Érdemes óvatosnak lenni a csevegőalkalmazásokban érkező csatolmányokkal: ismerős esetén is mindig telefonon egyeztess, mielőtt letöltöd a mellékletet.
A Google szerint ezek a támadások nem használtak ki biztonsági rést sem az Androidban, sem az Eszközkeresőben (Find My Device), hanem kizárólag ellopott fiókadatokkal tudtak visszaélni. További védelemként a kétlépcsős azonosítást, a kulcskártya-alapú hitelesítést vagy a Google Speciális Védelmi Programjára való jelentkezést javasolják.
