Aan Noord-Korea gelieerde aanvallers verspreiden op grote schaal malafide bestanden vermomd als 'anti-stressprogramma's' via het Zuid-Koreaanse berichtenplatform KakaoTalk. De aanvallers bespioneren slachtoffers en proberen malware te verspreiden om zo Android-apparaten via Google Find Hub op afstand te wissen. De aanvallen zijn het werk van een groep die de KONNI APT-groep wordt genoemd.

Dit melden onderzoekers van het Zuid-Koreaanse Genians Security Center (GSC). GSC wijst erop dat de doelwitten en gebruikte infrastructuur van KONNI overeenkomen met die van Kimsuky en APT37, waardoor onderzoekers dit als dezelfde groep aanmerken.

De aanvallers doen zich voor als psychologen of Noord-Koreaanse mensenrechtenactivisten en verspreiden remote access tools (RAT's) vermomd als anti-stressprogramma's. De malware is specifiek gericht op Windows-apparaten en in veel gevallen gaat het om een spearphishing-aanval.

Eenmaal binnen op het Windows-systeem proberen de aanvallers toegang te krijgen tot onder meer het Google-account van slachtoffers. Met behulp van dat account kunnen zij via Find Hub de realtime locatie van het slachtoffer traceren en het Android-apparaat op afstand wissen of resetten.

Op het systeem zoeken de aanvallers tegelijkertijd naar KakaoTalk. Indien het slachtoffers hierop is ingelogd, wordt KakaoTalk gebruikt om de malware naar contactpersonen te verspreiden. De malware wordt direct na het resetten van het Android-apparaat van het slachtoffer naar diens contactpersonen verstuurd. Zo proberen de aanvallers te voorkomen dat het slachtoffer alarm slaat en contactpersonen waarschuwt.

Google heeft verklaard dat de aanval geen misbruik maakt van een beveiligingslek in Android of Find Hub. Gebruikers wordt aangeraden om tweestapsverificatie of wachtwoorden in te schakelen om zich te beschermen tegen diefstal van inloggegevens. Gebruikers die een verhoogd risico lopen op gerichte aanvallen vanwege hun identiteit of activiteiten, wordt aangeraden zich aan te melden voor het Advanced Protection Program van Google.