Группа хакеров со ссылками на северокорейский режим загрузила Android Spyware в Google Play App Store и смогла обмануть некоторых людей к его загрузке, по словам фирмы Cybersecurity Lookout.
В отчете, опубликованном в среду, и заранее поделился с TechCrunch, Lookout подробно описывает шпионскую кампанию, включающую несколько различных образцов шпионского программного обеспечения Android, которую она называет Kospy, которую компания приписывает «с высокой уверенностью» правительству Северной Кореи.
По крайней мере, одно из приложений Spyware было в какой -то момент в Google Play и загружается более 10 раз, согласно кэшированному моментальному снимку страницы приложения в официальном магазине Android App. Lookout включил скриншот страницы в своем отчете. В последние несколько лет северокорейские хакеры попали в заголовки газет, особенно для своих смелых крипто -ограблений, таких как недавняя кража в Ethereum в Ethereum в размере около 1,4 миллиарда долларов от Crypto Exchange Bybit, с целью продвижения запрещенной программы ядерного оружия страны. Однако в случае этой новой кампании Spyware все признаки указывают на то, что это операция наблюдения, основанная на функциональности приложений Spyware, идентифицированных Lookout.
Согласно Lookout, экранина снимка архивной версии страницы Google Play Store в приложении, которое притворилось, что является файловым менеджером, но на самом деле был северокорейским шпионским программным обеспечением. (Изображение: Lookout)
Цели кампании северокорейской шпионской программы не известны, но Кристоф Хейбен, директор Lookout по исследованию интеллекта безопасности, сказал TechCrunch, что с несколькими загрузками приложение Spyware, вероятно, нацелено на конкретных людей.
Согласно Lookout, Kospy собирает «широкий объем конфиденциальной информации», в том числе: SMS-текстовые сообщения, журналы вызовов, данные о местонахождении устройства, файлы и папки на устройстве, пользовательские клавиши, данные Wi-Fi и список установленных приложений.
Kospy также может записывать звук, сфотографировать с помощью камер телефона и делать скриншоты экрана.
Lookout также обнаружил, что Kospy опиралась на Firestore, облачную базу данных, основанная на инфраструктуре Google Cloud для получения «начальных конфигураций».
Представитель Google Эд Фернандес сказал TechCrunch, что Lookout поделился своим отчетом с компанией, и «все идентифицированные приложения были удалены из игры [and] Firebase Projects деактивирована », включая образец Kospy, который был в Google Play.
«Google Play автоматически защищает пользователей от известных версий этого вредоносного ПО на Android -устройствах с Google Play Services», — сказал Фернандес.
Google не комментировал ряд конкретных вопросов о отчете, в том числе о том, согласился ли Google с атрибуцией к северокорейскому режиму и другие подробности о отчете Lookout.
Свяжитесь с нами. Из неработающего устройства и сети вы можете надежно связаться с Lorenzo Franceschi-Bicchierai по сигналу +1 917 257 1382, или через Telegram и Keybase @lorenzofb или по электронной почте. Вы также можете связаться с TechCrunch через Securedrop.
В отчете также говорится, что Lookout обнаружил некоторые из приложений Spyware на стороннем магазине приложений Apkpure. Представитель APKPure сказал, что компания не получила «ни одного электронного письма» от Lookout.
Человек или люди, контролирующие адрес электронной почты разработчика, указанный на странице Google Play, размещенном в приложении Spyware, не отвечал на запрос TechCrunch о комментариях.
Hebeisen от Lookout, наряду с Алемдаром Исламоглу, старшим исследователем по безопасности сотрудников, сказал TechCrunch, что, хотя Lookout не имеет никакой информации о том, кто, возможно, был нацелен, что, возможно, была нацелена — эффективно — компания уверена в том, что это была целевая кампания, скорее всего, после того, как люди в Южной Кореи, которые говорят по -английски или на корейском языке.
Оценка Lookout основана на именах приложений, которые они нашли, некоторые из которых находятся на корейском языке, и что некоторые из приложений имеют заголовки корейского языка, а пользовательский интерфейс поддерживает оба языка, согласно отчету.
Lookout также обнаружил, что приложения Spyware используют доменные имена и IP -адреса, которые ранее были идентифицированы как присутствующие в инфраструктуре вредоносных программ и управления, используемой группами в правительстве Северной Кореи APT37 и APT43.
«Что касается актеров северокорейской угрозы, так это то, что они, кажется, несколько часто успешны в получении приложений в официальные магазины приложений», — сказал Хейбен.
