黑客靠谷歌定位找时机,窃密后远程摧毁手机核心数据!

近期,国外安全公司披露一起新型 APT 攻击事件,朝鲜黑客组织通过精准定位与钓鱼诈骗结合的方式,远程操控并重置安卓智能手机,造成用户核心数据丢失,达成破坏性攻击目的。

该APT组织为KONNI,与Kimsuky和APT37存在网络资产重叠,组织归类到第63研究中心不同网攻小组。

攻击活动主要通过 KakaoTalk 即时通讯应用发起攻击。黑客伪装成心理咨询师或某类活动人士,向目标发送鱼叉式钓鱼消息,附带伪装为减压程序的恶意 MSI 安装包。(图为翻译后结果)

当然邮件仍然是传统钓鱼攻击渠道(图为翻译后结果)

用户一旦执行安装包,隐藏其中的 AutoIt 脚本便会规避反病毒检测,通过 Windows 任务调度器建立持久运行机制,同时部署多款远程访问工具(RAT),窃取用户谷歌账户、Naver 等平台的登录凭证。

获取账户权限后,黑客会利用谷歌位置跟踪系统 Find Hub(前身为 Find My Device),查询手机经纬度坐标确认用户不在家或办公室,随即通过云端下发远程工厂重置命令。

该操作会彻底擦除安卓设备的内部存储、SD 卡数据及应用缓存,包括照片、文档、联系人等所有个人数据瞬间清零。

同时,攻击者还会多次发送重置命令,中断通讯同步与推送通知,延迟用户察觉手机正在被重置的时机。

攻击者首先登录受害者的 Gmail 帐户,并在"帐户活动详情"页面上查看最近的登录会话记录。

接下来,他们访问了谷歌账号管理页面,打开了安全菜单,并确认了在Naver账号下注册的恢复邮箱地址。

攻击者随后登录了该Naver账号,删除了谷歌的安全警报邮件,并清空了回收站,蓄意清除其活动痕迹。 之后,攻击者打开谷歌的"安全"菜单,进入"你的设备"部分,然后选择"查找我的手机"链接。通过该链接,选择已注册的智能手机或平板电脑,即可跳转到"查找中心"服务,该服务允许对已关联的设备执行各种远程命令。操作日志:

此外,已感染的设备会被劫持 KakaoTalk 客户端,向联系人发送恶意载荷形成链式感染。黑客还会激活电脑摄像头与麦克风,捕获音视频流确认用户行踪,恶意数据在销毁前,还可能通过加密通道被上传至分布在俄、美、德等国的控制服务器。

黑鸟看了一下分析,发现剩下的木马分析过程和此前的家族类似,有需求的自行查阅原报告

https://www.genians.co.kr/en/blog/threat_intelligence/android

值得一提的是,恶意程序执行后,会安装基于 AutoIt 的脚本(如 IoKlTr.au3),规避反病毒检测并通过 Windows 任务调度器建立自启动项,确保攻击持久性,并且恶意文件执行期间,会显示下图弹窗。(已翻译原来为韩文)

该组织网络资产关联图:

相关推荐
wulechun16 天前
打造你的专属机器宠物:Py-Apple低成本四足机器人开源项目深度解析与全流程DIY实战指南
智能手机
2601_9547064916 天前
云手机技术详解+Python实战调用|2026高稳云手机平台推荐
开发语言·python·智能手机
百度搜知知学社16 天前
贝格手机罗盘2.8版:精准导航与功能升级全解析
智能手机·功能升级·手机罗盘·导航应用·版本解析
xsc-xyc16 天前
用 Tailscale + Syncthing 实现手机、电脑与 NAS 的跨网络文件同步
linux·网络·网络安全·智能手机·电脑
wulechun16 天前
打造全栈人工智能知识图谱:深入解析Ai-Learn开源学习路线与实战资源导航指南
智能手机
wulechun16 天前
从深度研究到全能执行:深度解析字节跳动DeerFlow开源超级智能体框架的架构原理与实战部署指南
智能手机
想你依然心痛17 天前
手机远程控制电脑教程:安卓iOS远程桌面推荐、免费工具配置与远程办公技巧
android·智能手机·电脑
开开心心_Every17 天前
近200个工具的电脑故障修复合集
linux·运维·服务器·leetcode·智能手机·电脑·模拟退火算法
私人珍藏库17 天前
[Android] OldRoll复古胶片相机高级版-徕卡-哈苏-宝丽来等等
数码相机·智能手机·app·工具·软件·多功能
2601_9547064917 天前
云手机基础认知、环境配置与自动化实操代码
大数据·智能手机