Het Amerikaanse ministerie van Homeland Security en de FBI hebben voor de derde keer in korte tijd gewaarschuwd voor malware die door de Noord-Koreaanse overheid zou zijn gebruikt om Android- en Windows-systemen te infecteren. Het gaat om twee Trojans genaamd "HARDRAIN" en "BADCALL".
De omschrijving van BADCALL (pdf) gaat zowel over Android- als Windows-malware. De Android-malware kan telefoongesprekken opnemen, screenshots maken, data uit adresboeken lezen, naar open wifi-kanalen scannen en bestanden uploaden en downloaden. De Windows-malware laat besmette systemen als proxyserver fungeren. Daarbij wordt er van zogenaamde TLS-verbindingen gebruik gemaakt waarbij het lijkt alsof er verbinding met bekende websites zoals Facebook, Google en Twitter wordt gemaakt. Een techniek die "Fake TLS" wordt genoemd.
Ook de omschrijving van HARDRAIN (pdf) betreft Android- en Windows-malware. In het geval van de Windows-malware gaat het wederom om malware die besmette machines als proxy gebruikt. De Android-malware is een Remote Access Tool (RAT) waarmee besmette Android-toestellen op afstand kunnen worden bestuurd. De Malware Analysis Reports van de FBI en Homeland Security bevatten verder informatie over de malware, zoals md5- en sha-1-hashes, bestandsnamen, door de malware gebruikte poorten en functionaliteit. Ook worden er zogeheten Yara-rules gegeven. Met de informatie kunnen organisaties hun netwerken verdedigen. In november en december vorig jaar publiceerden de FBI en Homeland Security ook al rapporten over "Noord-Koreaanse malware".
Deze posting is gelocked. Reageren is niet meer mogelijk.