De Duitse en Zuid-Koreaanse inlichtingendiensten hebben een gezamenlijke waarschuwing gegeven voor malafide Google Chrome-extensies die bij spionageaanvallen worden ingezet. De aanvallers sturen slachtoffers e-mails waarin ze worden gevraagd een Chrome-extensie te installeren. Het gaat hier echter om een malafide extensie die de inhoud van het Gmail-account steelt zodra het slachtoffer hierop inlogt. Op deze manier wordt een eventueel aanwezige tweefactorauthenticatie omzeild.

Daarnaast maken de aanvallers ook misbruik van malafide Android-apps die zonder mede weten op de telefoon van slachtoffers wordt geïnstalleerd. Ook deze aanval begint met een phishingmail waarmee de aanvaller de inloggegevens van het Google-account van het slachtoffer probeert te stelen. De aanvaller heeft inmiddels ook een malafide app naar de Google Play Console geüpload. Dit is een appstore voor apps die in ontwikkeling zijn en intern getest moeten worden.

De aanvallers registreert het account van het slachtoffer als testdeelnemer. Vervolgens logt de aanvaller in op het Google-account van het slachtoffer en verzoekt de installatie van de malafide app. Die wordt vervolgens via de synchronisatiefeature van de Google Play Store automatisch en zonder interactie van de gebruiker geïnstalleerd. Volgens de Duitse en Zuid-Koreaanse inlichtingendiensten zijn de aanvallen gericht op experts met kennis over Noord-Koreaanse zaken. Aangezien de aanvallen plaatsvinden via e-mail adviseren de diensten gebruikers om op te letten op berichten die ze ontvangen (pdf).