Google превратили в шпиона

Хакеры из Северной Кореи превратили защитную функцию Google в оружие. Группа KONNI атаковала южнокорейские Android-устройства, впервые использовав легитимный сервис «Find Hub» для дистанционной очистки данных. Получив доступ к аккаунтам жертв, они не только стирали всю личную информацию, но и скрывали следы взлома, готовя почву для дальнейших атак.

Атака начиналась с хитроумного фишинга. Жертвам, среди которых были психологи, работающие с северокорейскими перебежчиками, приходили поддельные письма от налоговой службы. Вложение маскировалось под безобидную программу для снятия стресса, но на деле запускало вредоносный софт.

Внутри скрывалась многоступенчатая угроза. Исследователи обнаружили подписанную легитимным сертификатом программу установки (MSI), внутри которой работали скрипты на AutoIt. Один из них, IoKlTr.au3, обеспечивал полный контроль над системой: кражу данных, скрытую съемку с веб-камеры и подключение к серверам в Германии и Японии.

Ключевой особенностью атаки стало двойное использование Find Hub. Злоумышленники не только стирали устройства, чтобы нанести ущерб и заблокировать доступ к уведомлениям, но и отслеживали местоположение жертв. Параллельно через скомпрометированные аккаунты мессенджера KakaoTalk происходило заражение их контактов, что многократно увеличивало масштаб атаки.

Эксперты подчеркивают: эта кампания демонстрирует высочайший уровень подготовки хакеров, сочетающий в себе шпионаж и целенаправленное разрушение. Для защиты необходимо использовать двухфакторную аутентификацию, проверять файлы из мессенджеров и следить за индикаторами активности камеры.