Група хакерів, пов’язаних із урядом Північної Кореї, завантажила шпигунське програмне забезпечення KoSpy у Google Play і змусила частину користувачів встановити його. Про це повідомила компанія з кібербезпеки Lookout у своєму звіті.
Як працює KoSpy
KoSpy – це шпигунське ПЗ для Android, яке, за даними Lookout, може збирати SMS, журнали викликів, дані про місцезнаходження, отримувати доступ до файлів пристрою, реєструвати натискання клавіш, фіксувати список встановлених додатків, записувати аудіо та робити скріншоти.
За словами директора з досліджень Lookout Крістофа Хебейзена, атака була спрямованою. Кількість завантажень була невеликою – шпигунський додаток скачали менше 10 разів. Ціллю, ймовірно, були користувачі в Південній Кореї, які розмовляють англійською або корейською мовами. Використані IP-адреси та домени пов’язані з хакерськими угрупованнями APT37 і APT43, які діють під контролем КНДР.
KoSpy використовував Firestore, хмарну базу даних Google Cloud, для отримання початкових конфігурацій. Це дозволяло зловмисникам маскувати зловмисну активність додатка. Google вже видалив виявлені програми та деактивував їхні Firebase-проекти, заявив представник компанії Ед Фернандес.
Північнокорейські хакери – часті гості в офіційних маркетплейсах. За словами експертів, Північна Корея не вперше впроваджує зловмисне ПЗ в Google Play.
