More

    Sjevernokorejski hakeri distribuisali Android špijunski softver putem Google Play-a

    Sjevernokorejska hakerska grupa APT37 ciljala je korisnike koji govore korejski i engleski jezik, koristeći Android špijunski alat distribuisan preko Google Play-a, upozorava sajber bezbjednosna kompanija Lookout.

    Nazvan KoSpy, ovaj špijunski softver je u upotrebi od marta 2022. godine, a predstavljen je kao korisnička aplikacija kako bi prevario nesumnjičave korisnike. On zloupotrebljava Google Play i Firebase Firestore za distribuciju aplikacija i preuzimanje konfiguracija.

    Ovaj nadzorni alat pripisan je sjevernokorejskoj hakerskoj grupi ScarCruft, poznatoj i kao APT37, koja je aktivna od 2012. godine. Njihove mete su prvenstveno entiteti u Južnoj Koreji, ali i u Kini, Indiji, Japanu, Kuvajtu, Nepalu, Rumuniji, Rusiji, Vijetnamu i zemljama Bliskog istoka.

    KoSpy je primijećen kako se maskira u pet različitih aplikacija: menadžer telefona, menadžer fajlova, pametni menadžer, alat za ažuriranje softvera i lažnu bezbjednosnu aplikaciju.

    Nakon što korisnik instalira aplikaciju, KoSpy preuzima sa Firebase Firestore-a konfiguracione podatke koji omogućavaju napadačima da omoguće ili onemoguće špijunski softver i promijene komandno-kontrolni (C&C) server u bilo kojem trenutku.

    Maliciozni softver zatim provjerava da li je uređaj žrtve emulator i da li je trenutni datum prošao unaprijed određeni datum aktivacije.

    KoSpy može prikupljati SMS poruke, evidenciju poziva i lokaciju uređaja, može praviti snimke ekrana, snimati zvuk pomoću mikrofona telefona, fotografisati, pristupati fajlovima i folderima na uređaju, bilježiti pritiske tastera, prikupljati informacije o Wi-Fi mreži i praviti listu instaliranih aplikacija.

    Prikupljeni podaci se šifruju prije slanja na udaljeni server, a Lookout je identifikovao pet Firebase projekata i komandno-kontrolnih servera koje koristi ovaj malver.

    Više od polovine aplikacija imalo je korejske nazive

    „Istraživači Lookout-a procjenjuju da je kampanja KoSpy ciljala korisnike koji govore korejski i engleski jezik. Više od polovine aplikacija imalo je nazive na korejskom jeziku, dok je korisnički interfejs podržavao dva jezika – engleski i korejski“, saopštila je kompanija.

    Neke od aplikacija su pronađene na Google Play-u, kao i na alternativnoj prodavnici aplikacija Apkpure. Sve identifikovane aplikacije uklonjene su sa Google Play-a, dok su Firebase projekti takođe obrisani.

    Lookout s umjerenim stepenom bezbjednosti pripisuje KoSpy grupi ScarCruft, ali napominje da se čini da ga je koristila i sjevernokorejska hakerska grupa APT43, poznata i kao Kimsuky i Thallium.

    „Korišćenje regionalnog jezika sugeriše da se radi o ciljanom malveru. Najnoviji uzorak malvera, otkriven u martu 2024. godine, uklonjen je iz Google Play-a prije nego što je bilo ko mogao da ga preuzme. Google Play Protect automatski štiti Android korisnike od poznatih verzija ovog malvera na uređajima koji koriste Google Play Services, čak i kada aplikacije dolaze izvan Google Play-a“, izjavio je portparol kompanije Google za SecurityWeek.

    Izvor: SecurityWeek

    Recent Articles

    spot_img

    Related Stories