Sjevernokorejska hakerska grupa APT37 ciljala je korisnike koji govore korejski i engleski jezik, koristeći Android špijunski alat distribuisan preko Google Play-a, upozorava sajber bezbjednosna kompanija Lookout.
Nazvan KoSpy, ovaj špijunski softver je u upotrebi od marta 2022. godine, a predstavljen je kao korisnička aplikacija kako bi prevario nesumnjičave korisnike. On zloupotrebljava Google Play i Firebase Firestore za distribuciju aplikacija i preuzimanje konfiguracija.
Ovaj nadzorni alat pripisan je sjevernokorejskoj hakerskoj grupi ScarCruft, poznatoj i kao APT37, koja je aktivna od 2012. godine. Njihove mete su prvenstveno entiteti u Južnoj Koreji, ali i u Kini, Indiji, Japanu, Kuvajtu, Nepalu, Rumuniji, Rusiji, Vijetnamu i zemljama Bliskog istoka.
KoSpy je primijećen kako se maskira u pet različitih aplikacija: menadžer telefona, menadžer fajlova, pametni menadžer, alat za ažuriranje softvera i lažnu bezbjednosnu aplikaciju.
Nakon što korisnik instalira aplikaciju, KoSpy preuzima sa Firebase Firestore-a konfiguracione podatke koji omogućavaju napadačima da omoguće ili onemoguće špijunski softver i promijene komandno-kontrolni (C&C) server u bilo kojem trenutku.
Maliciozni softver zatim provjerava da li je uređaj žrtve emulator i da li je trenutni datum prošao unaprijed određeni datum aktivacije.
KoSpy može prikupljati SMS poruke, evidenciju poziva i lokaciju uređaja, može praviti snimke ekrana, snimati zvuk pomoću mikrofona telefona, fotografisati, pristupati fajlovima i folderima na uređaju, bilježiti pritiske tastera, prikupljati informacije o Wi-Fi mreži i praviti listu instaliranih aplikacija.
Prikupljeni podaci se šifruju prije slanja na udaljeni server, a Lookout je identifikovao pet Firebase projekata i komandno-kontrolnih servera koje koristi ovaj malver.
Više od polovine aplikacija imalo je korejske nazive
„Istraživači Lookout-a procjenjuju da je kampanja KoSpy ciljala korisnike koji govore korejski i engleski jezik. Više od polovine aplikacija imalo je nazive na korejskom jeziku, dok je korisnički interfejs podržavao dva jezika – engleski i korejski“, saopštila je kompanija.
Neke od aplikacija su pronađene na Google Play-u, kao i na alternativnoj prodavnici aplikacija Apkpure. Sve identifikovane aplikacije uklonjene su sa Google Play-a, dok su Firebase projekti takođe obrisani.
Lookout s umjerenim stepenom bezbjednosti pripisuje KoSpy grupi ScarCruft, ali napominje da se čini da ga je koristila i sjevernokorejska hakerska grupa APT43, poznata i kao Kimsuky i Thallium.
„Korišćenje regionalnog jezika sugeriše da se radi o ciljanom malveru. Najnoviji uzorak malvera, otkriven u martu 2024. godine, uklonjen je iz Google Play-a prije nego što je bilo ko mogao da ga preuzme. Google Play Protect automatski štiti Android korisnike od poznatih verzija ovog malvera na uređajima koji koriste Google Play Services, čak i kada aplikacije dolaze izvan Google Play-a“, izjavio je portparol kompanije Google za SecurityWeek.
Izvor: SecurityWeek
