Un grup de hackeri cu legături cu regimul nord-coreean a încărcat spyware pe dispozitive Android prin magazinul de aplicații Google Play și a reușit să păcălească unele persoane să îl descarce, potrivit firmei de securitate cibernetică Lookout, citată de TechCrunch.
Într-un raport publicat miercuri și împărtășit în exclusivitate cu TechCrunch înainte de termen, Lookout detaliază despre o campanie de spionaj care implică mai multe mostre diferite ale unui spyware Android pe care îl numește KoSpy, pe care compania îl atribuie cu „mare încredere” guvernului nord-coreean.
Cel puțin una dintre aplicațiile de spionaj a fost la un moment dat pe Google Play și a fost descărcată de peste 10 ori, conform unei capturi de ecran a paginii aplicației din magazinul oficial de aplicații Android. Lookout a inclus o captură de ecran a paginii în raportul său.
În ultimii ani, hackerii nord-coreeni au ținut prima pagină a ziarelor în special pentru jafurile lor îndrăznețe de criptomonede, cum ar fi furtul recent de aproximativ 1,4 miliarde de dolari în Ethereum de la bursa Bybit, cu scopul de a promova programul de arme nucleare interzis al țării. Cu toate acestea, în cazul acestei noi campanii de spyware, toate indiciile arată că este vorba despre o operațiune de supraveghere, pe baza funcționalității aplicațiilor spyware identificate de Lookout.
Obiectivele campaniei nord-coreene de spyware nu sunt cunoscute, dar Christoph Hebeisen, directorul de cercetare în domeniul informațiilor de securitate al Lookout, a declarat pentru TechCrunch că, având în vedere numărul redus de descărcări, aplicația spyware viza probabil anumite persoane.
Potrivit Lookout, KoSpy colectează „o cantitate extinsă de informații sensibile”, inclusiv: mesaje text SMS, jurnale de apeluri, date de localizare a dispozitivului, fișiere și foldere de pe dispozitiv, tastele introduse de utilizator, detalii despre rețeaua Wi-Fi și o listă a aplicațiilor instalate.
KoSpy poate, de asemenea, să înregistreze înregistrări audio, să facă fotografii cu camerele foto ale telefonului și să facă capturi de ecran ale ecranului în uz.
Lookout a constatat, de asemenea, că KoSpy s-a bazat pe Firestore, o bază de date cloud construită pe infrastructura Google Cloud pentru a prelua „configurațiile inițiale”.
Purtătorul de cuvânt al Google, Ed Fernandez, a declarat pentru TechCrunch că Lookout a împărtășit raportul său cu compania și „toate aplicațiile identificate au fost eliminate din Play [și] proiectele Firebase dezactivate”, inclusiv eșantionul KoSpy care se afla pe Google Play.
„Google Play protejează automat utilizatorii de versiunile cunoscute ale acestui malware pe dispozitivele Android cu Google Play Services”, a declarat Fernandez.
Raportul mai spune că Lookout a găsit unele dintre aplicațiile spyware pe magazinul de aplicații terțe APKPure. Un purtător de cuvânt al APKPure a declarat că societatea nu a primit „niciun e-mail” de la Lookout.
Persoana sau persoanele care controlează adresa de e-mail a dezvoltatorului listată pe pagina Google Play care găzduiește aplicația spyware nu au răspuns la solicitarea de comentarii a TechCrunch.
Hebeisen de la Lookout, împreună cu Alemdar Islamoglu, un cercetător senior de informații de securitate, au declarat pentru TechCrunch că, deși Lookout nu are nicio informație despre cine anume ar fi putut fi vizat, compania este convinsă că aceasta a fost o campanie foarte bine direcționată, cel mai probabil vizând persoane din Coreea de Sud, care vorbesc engleză sau coreeană.
Evaluarea Lookout se bazează pe numele aplicațiilor găsite, dintre care unele sunt în limba coreeană, și pe faptul că unele dintre aplicații au titluri în limba coreeană, iar interfața utilizatorului acceptă ambele limbi, potrivit raportului.
Lookout a constatat, de asemenea, că aplicațiile spyware utilizează nume de domenii și adrese IP care au fost identificate anterior ca fiind prezente în malware și în infrastructura de comandă și control utilizate de grupurile de hacking ale guvernului nord-coreean APT37 și APT43.
„Ceea ce este fascinant în legătură cu actorii de amenințare nord-coreeni este că, se pare, reușesc destul de frecvent să introducă aplicații în magazinele oficiale de aplicații”, a declarat Hebeisen.
