Северокорейское шпионское ПО KoSpy атакует пользователей Android через поддельные приложения

Исследователи из компании по кибербезопасности Lookout обнаружили новое шпионское ПО для Android, KoSpy, которое приписывают хакерской группе из Северной Кореи APT37, также известной как ScarCruft.

Вредоносное ПО, впервые обнаруженное в марте 2022 года, по-прежнему активно и было внедрено в поддельные служебные приложения, такие как «File Manager», «Software Update Utility» и «Kakao Security». Эти приложения, ранее доступные в Google Play и сторонних магазинах, таких как Apkpure, были разработаны для атаки на корейских и англоговорящих пользователей.

KoSpy собирает широкий спектр конфиденциальной информации, включая текстовые сообщения, журналы вызовов, данные о местоположении, файлы, аудиозаписи и скриншоты.

Шпионское ПО работает с помощью двухуровневой системы командного управления (C2), сначала получая конфигурации из облачной базы данных Firebase, а затем устанавливая связь с удаленными серверами. Такая конфигурация позволяет злоумышленникам менять серверы или при необходимости отключать вредоносное ПО.

Google удалил все известные вредоносные приложения из своего Play Store. Представитель компании заявил: «Google Play Protect автоматически защищает пользователей Android от известных версий этого вредоносного ПО на устройствах с Google Play Services, даже когда приложения поступают из источников вне Play», — как сообщает The Record.

KoSpy также разделяет инфраструктуру с другой хакерской группой, поддерживаемой государством Северной Кореи, APT43, известной своими кампаниями с использованием спам-рассылки для распространения вредоносных программ, которые крадут конфиденциальные данные. Это перекрытие инфраструктур затрудняет точную атрибуцию, но исследователи из Lookout связывают KoSpy с APT37 со средней уверенностью.

Группа ScarCruft проводит кибершпионские операции с 2012 года, в основном, направляя свои усилия против Южной Кореи, но также распространяя свое влияние на Японию, Вьетнам, Россию, Непал, Китай, Индию, Румынию, Кувейт и страны Ближнего Востока. Группа была связана с атаками на медиаорганизации и высокопрофильных ученых, а также с операцией по распространению вредоносного ПО в Юго-Восточной Азии.

Хотя KoSpy больше недоступен в Google Play Store, исследователи предупреждают, что пользователи должны оставаться настороже в отношении подозрительных приложений, особенно тех, которые запрашивают чрезмерные разрешения. Обновление устройств и использование официальных магазинов приложений с защитными функциями, такими как Google Play Protect, может помочь снизить риски.