Północnokoreańskie oprogramowanie szpiegujące KoSpy atakuje użytkowników Androida poprzez fałszywe aplikacje

Badacze z firmy zajmującej się cyberbezpieczeństwem Lookout odkryli nowe szpiegowskie oprogramowanie dla Androida, KoSpy, przypisywane północnokoreańskiej grupie hakerów APT37, znanej również jako ScarCruft.

Szkodliwe oprogramowanie, po raz pierwszy zauważone w marcu 2022 r., nadal jest aktywne i zostało osadzone w fałszywych aplikacjach narzędziowych takich jak „Menedżer plików”, „Narzędzie aktualizacji oprogramowania” i „Kakao Security”. Te aplikacje, wcześniej dostępne na Google Play i w sklepach trzecich, takich jak Apkpure, zostały zaprojektowane z myślą o użytkownikach mówiących w języku koreańskim i angielskim.

KoSpy gromadzi szeroki zakres wrażliwych informacji, w tym wiadomości tekstowe, rejestr połączeń, dane lokalizacyjne, pliki, nagrania dźwiękowe i zrzuty ekranu.

Szpiegowskie oprogramowanie działa przy użyciu dwustopniowego systemu dowodzenia i kontroli (C2), najpierw pobierając konfiguracje z chmury Firebase, a następnie nawiązując komunikację z serwerami zdalnymi. Ten układ pozwala atakującym na zmianę serwerów lub wyłączenie malware w razie potrzeby.

Google usunął wszystkie znane szkodliwe aplikacje ze swojego sklepu Play Store. Jak powiedział rzecznik, „Google Play Protect automatycznie chroni użytkowników Androida przed znanymi wersjami tego złośliwego oprogramowania na urządzeniach z usługami Google Play, nawet gdy aplikacje pochodzą z źródeł spoza Play”, jak podaje The Record.

KoSpy współdzieli infrastrukturę z inną grupą hakerów wspieraną przez państwo północnokoreańskie, APT43, znaną z kampanii spearphishingowych, które wykorzystują złośliwe oprogramowanie do kradzieży wrażliwych danych. To pokrywanie się infrastruktury utrudnia dokładne przypisanie autorstwa, ale badacze z Lookout łączą KoSpy z APT37 z umiarkowanym zaufaniem.

ScarCruft prowadzi operacje cyber szpiegowskie od 2012 roku, głównie zwracając swoją uwagę na Koreę Południową, ale także rozszerzając swój zasięg na Japonię, Wietnam, Rosję, Nepal, Chiny, Indie, Rumunię, Kuwejt i Bliski Wschód. Grupa ta została powiązana z atakami na organizacje medialne oraz wybitnych naukowców, jak również z operacją malware w Azji Południowo-Wschodniej.

Chociaż KoSpy nie jest już dostępny w Google Play Store, badacze przestrzegają, że użytkownicy powinni pozostać ostrożni wobec podejrzanych aplikacji, zwłaszcza tych, które proszą o nadmierną liczbę uprawnień. Aktualizowanie urządzeń i korzystanie z oficjalnych sklepów z aplikacjami z zabezpieczeniami takimi jak Google Play Protect może pomóc zminimalizować ryzyko.