Группа хакеров , предположительно связанная с правительством Северной Кореи, разместила шпионское ПО для Android в магазине приложений Google Play, сумев убедить некоторых пользователей скачать его. Об этом сообщаетИБ-компания Lookout.
В отчете Lookout описана кампания с использованием нескольких версий шпионского ПО Android под названием KoSpy. Вредоносное ПО с высокой степенью уверенности связано с правительством Северной Кореи.
Одно из заражённых приложений находилось в Google Play и было загружено более 10 раз, согласно кешированной версии страницы в магазине. Хотя северокорейские хакеры в последние годы чаще всего попадали в новости из-за кражи криптовалют, включая недавний взлом биржи Bybit на сумму около 1,4 миллиарда долларов, новая атака носит разведывательный характер. Это подтверждается функциональностью обнаруженных приложений.
Кэшированная версия страницы приложения (Lookout)
Конкретные цели операции пока неизвестны. Специалисты выявили, что KoSpy собирает широкий спектр конфиденциальных данных, включая SMS-сообщения, историю вызовов, геолокацию, файлы и папки на устройстве, нажатия клавиш, информацию о Wi-Fi-сетях и список установленных приложений. Также вредоносное ПО может записывать звук, делать снимки с камер устройства и скриншоты.
KoSpy использует Firestore, облачную базу данных на инфраструктуре Google Cloud, для получения начальных конфигураций. Представитель Google сообщил, что Lookout передала компании информацию об угрозе, после чего все выявленные вредоносные приложения были удалены из Google Play, а связанные проекты Firebase отключены.
Google также заявила, что пользователи Android, у которых включены сервисы Google Play, автоматически защищены от известных версий данного вредоносного ПО. Однако на вопросы о причастности Северной Кореи и других деталях отчёта компания отвечать не стала.
Кроме официального магазина Google Play, Lookout обнаружила заражённые приложения и на стороннем ресурсе APKPure, представители которого заявили, что не получали уведомлений о вредоносном ПО от Lookout.
Дополнительно Lookout выявила использование тех же доменов и IP-адресов, которые ранее были связаны с хакерскими группировками APT37 и APT43 , действующими в интересах северокорейского правительства.
Личности разработчиков, разместивших вредоносное приложение, остаются неизвестными, а связаться с ними по указанному в Google Play адресу электронной почты не удалось. Lookout утверждает, что атака была направлена, скорее всего, на пользователей из Южной Кореи, говорящих на английском и корейском языках. Такой вывод сделан на основе названий приложений, некоторых из которых имеют корейские названия, а также интерфейсов, поддерживающих оба языка.