McAfee说，间谍软件通过社交链接定位朝鲜持不同政见者

对朝鲜叛逃者的间谍软件运动进行调查，记者和群体帮助他们，揭示了袭击高度目标。

该调查遵循韩国媒体的报告，即未知的演员在韩国使用KakaoTalk，一个受欢迎的聊天应用程序以及其他社交网络服务，如Facebook，以在受害者的设备上安装恶意软件。

该链接似乎是用于血液助理的HeathCare应用程序或称为朝鲜祈祷的应用程序，但单击链接会导致受害者设备上安装间谍软件。

两个应用程序使用相同的丢弃器。McAfee已将间谍软件识别为Android / HiddenApp.bp。

研究人员发现，在与血液助理的恶意链接的情况下，Facebook被用来用于12％的案件，以将链接发送到其目标。

根据研究人员的说法，Dropped Trojan使用流行的Cloud Services Dropbox和Yandex作为控制服务器来上传数据和接收命令。

安装丢弃的木马时，它将在临时文件夹中保存设备信息并将其上传到云端。它然后下载包含命令和其他数据的文件以控制受感染的设备。

大多数恶意行为 - 例如保存联系信息 - 是在名为“核心”的单独DEX [Android可执行文件]文件中实现，该文件从控制服务器下载。

研究人员发现命令文件具有自己的格式，并且从云接收的命令代码的处理程序被实现为单独的dex文件，并在恶意软件解析命令文件之前或之后下载。

研究人员表示，这种机制允许攻击者轻松扩展其恶意功能，而无需更新整个恶意软件。

他们认为，这一运动背后的小组熟悉韩国文化，电视节目，戏剧和语言，因为与云服务相关的帐户名称来自韩国戏剧和电视节目。

研究人员能够将恶意软件与一个名为Sun Team的小组联系起来，这似乎自2016年以来一直活跃。研究人员说，该名称与任何先前已知的网络犯罪集团无关。

McAfee建议将移动安全保持最新，因此它将识别此类和其他新形式的移动恶意软件。它还建议仅从Google Play安装应用以降低恶意软件感染的风险。