Spyware z Korei Północnej trafił na Google Play
Złośliwe oprogramowanie podszywało się pod użyteczne aplikacje pokroju menedżerów plików, jednak zostało usunięte z androidowego sklepu.
Badacze z Lookout Threat Lab odkryli nowe oprogramowanie szpiegowskie atakujące użytkowników Androida. Spyware okrzyknięte zostało mianem KoSpy, a jego stworzenie oraz rozpowszechnianie przypisuje się grupie hakerów ScarCruft (lub też APT37) z Korei Północnej. Pierwsze ślady rzeczonego KoSpy pochodzą jeszcze z marca 2022 r., niemniej wirus wciąż krąży po sieci i można go było znaleźć nawet w Sklepie Google Play.
KoSpy: jak działa spyware z Korei Północnej?
Wspomniane StarCruft to sponsorowane przez rząd Korei Północnej i funkcjonujące od 2012 r. ugrupowanie cyberprzestępców, które w głównej mierze skupia się zatruwaniu życia obywateli Korei Południowej. Tym niemniej, wedle dostępnych informacji, część z przeprowadzanych przez nie ataków dotyczyła także Japonii, Chin, Indii, Wietnamu, Rosji, Nepalu, a nawet Rumunii.
Stworzony przez hakerów spyware podszywa się pod potencjalnie niegroźne, acz wymagające znacznych uprawnień, aplikacje pokroju menedżerów plików. Pozwala to uśpić czujność użytkowników i przeczesać ich urządzenia w poszukiwaniu przydatnych danych. Złośliwe oprogramowanie zostało wykryte m.in. w dostępnych z poziomu Google Play apkach takich jak File Manager, Phone Manager, Kakao Security, Smart Manager oraz Software Update Utility. Na szczęście wszystkie zostały już usunięte ze sklepu, niemniej niesmak pozostał.
Co ciekawa, każda z wymienionych aplikacji, za wyjątkiem Kakao Security, które zawiesza się już na dzień dobry, spełnia swoją funkcję i jest w pełni użyteczna.
Po zainstalowaniu oprogramowania wzbogaconego o niechcianego gościa, swoje prawdziwe zadanie rozpoczyna ono od ściągnięcia zaszyfrowanego pliku konfiguracyjnego z bazy danych Firebase Firestore. Następnie KoSpy przeprowadza szereg procesów, aby upewnić się, że nie funkcjonuje w obrębie emulatora.
Twór północnokoreańskich hakerów mógł uzyskiwać dostęp do takich informacji jak położenie zainfekowanego sprzętu, znajdujące się na nim pliki, a nawet historia połączeń i konwersacje za pośrednictwem SMS. Spyware było również w stanie przechwytywać dźwięki wyłapywanie przez mikrofon smartfona lub tabletu, robić zdjęcia z pomocą aparatu oraz wykonywać zrzuty ekranu.
Jak już zostało wspomniane, aplikacje zostały skasowane ze Sklepu Google Play, jednak jeśli któraś z nich znalazła się zawczasu na naszym telefonie, musimy samodzielnie ją usunąć i czym prędzej podjąć środki zaradcze, takie jak przeskanowanie całego systemu w poszukiwaniu wirusów lub, w skrajnych przypadkach, przywrócenie ustawień fabrycznych urządzenia.
