Исследователи компании в сфере кибербезопасности Lookout сообщили, что связанная с Северной Кореей группировка хакеров загрузила шпионское программное обеспечение для Android в магазин приложений Google Play. Злоумышленники обманом смогли заставить некоторых пользователей загрузить этот софт.
Lookout описывает кампанию с участием нескольких образцов шпионского ПО для Android под названием KoSpy. Специалисты компании с «высокой степенью уверенности» связывают программу с северокорейским правительством. Одно из таких приложений в Google Play загрузили более 10 раз.
Исследователи не смогли назвать цели северокорейской шпионской кампании. Учитывая всего несколько загрузок, шпионское ПО было нацелено на конкретных людей, поделился директор по исследованиям в области безопасности Lookout Кристоф Хебейзен.
KoPsy собирает «огромный объём конфиденциальной информации», включая СМС, журналы вызовов, данные о местоположении, файлы и папки на устройстве, нажатия клавиш, сведения о сети Wi-Fi и список установленных приложений. Вредоносное ПО способно записывать звук, делать снимки экрана во время использования и фотографировать на камеры.
Для получения начальных конфигураций KoSpy использовало Filestore — облачную базу данных, созданную на основе инфраструктуры Google Cloud, выяснили в Lookout. Представитель Google Эд Фернандес заявил, что все выявленные исследователями шпионские приложения были удалены из Google Play, а проекты Firebase отключены, включая образец KoSpy.
Кроме того, Lookout обнаружила некоторые шпионские приложения в стороннем магазине приложений для Android — APKPure. Представитель площадки заявил, что компания не получала уведомлений от Lookout.
Кристоф Хебейзен и старший научный сотрудник по вопросам безопасности Lookout Алемдар Исламоглу сообщили об отсутствии информации о том, кто именно мог стать целью KoSpy. Однако в Lookout считают, что, скорее всего, кампания направлена на жителей Южной Кореи, говорящих на английском или корейском языках.
Оценка Lookout основана на названиях обнаруженных приложений, некоторые из них были на корейском языке, а пользовательский интерфейс также поддерживал и английский язык.
Исследователи выяснили, что шпионские приложения используют домены и IP-адреса, которые ранее нашли во вредоносном ПО и инфраструктуре управления, используемой северокорейскими хакерами из группировок APT37 и APT43. Злоумышленникам из КНДР довольно часто удаётся размещать софт в официальных магазинах приложений, резюмировал Хебейзен.
Источник новости: habr.com
