Киберугроза KoSpy: Как северокорейские хакеры атакуют через Google Play

Северокорейская хакерская группа APT37 распространяет шпионское ПО KoSpy через Google Play и сторонние магазины приложений. Программа маскируется под полезные приложения и собирает данные пользователей. Узнайте, как защитить свои устройства и что делать, если вы уже подверглись атаке.

Киберугроза KoSpy: Как северокорейские хакеры атакуют через Google Play

В последнее время мир кибербезопасности столкнулся с новой угрозой — шпионским программным обеспечением под названием KoSpy. Исследователи из компании Lookout выявили, что за этой кампанией стоит северокорейская хакерская группа APT37, также известная как ScarCruft. Атака началась в марте 2022 года и продолжается по сей день, с активным развитием вредоносного ПО.

Как работает KoSpy?

KoSpy проникает на устройства пользователей через Google Play и сторонние магазины приложений, такие как APKPure. Хакеры использовали для этого как минимум пять вредоносных приложений, которые маскировались под полезные инструменты:

휴대폰 관리자 (Phone Manager)
File Manager (com.file.exploer)
스마트 관리자 (Smart Manager)
카카오 보안 (Kakao Security)
Software Update Utility

Эти приложения предлагают пользователям определенную функциональность, но в фоновом режиме загружают и активируют шпионское ПО KoSpy. Исключение составляет только Kakao Security, которое показывает фальшивое системное окно и запрашивает доступ к опасным разрешениям.

Целевая аудитория и методы атаки

Основной целью кампании являются пользователи, говорящие на корейском и английском языках. Хакеры используют различные методы для обмана пользователей, включая маскировку под файловые менеджеры, инструменты безопасности и утилиты для обновления программного обеспечения.

После активации на устройстве KoSpy загружает зашифрованный конфигурационный файл из базы данных Firebase Firestore, чтобы избежать обнаружения. Затем он подключается к серверу управления и контроля (C2) и выполняет проверки, чтобы убедиться, что не работает в эмуляторе. Вредоносное ПО может получать обновленные настройки, дополнительные полезные нагрузки для выполнения и быть активировано или деактивировано динамически через переключатель «вкл/выкл».

Что может делать KoSpy?

Возможности KoSpy по сбору данных включают:

Перехват SMS и журналов звонков
Отслеживание GPS-местоположения жертвы в реальном времени
Чтение и передача файлов с локального хранилища
Использование микрофона устройства для записи аудио
Использование камеры устройства для захвата фотографий и видео
Создание снимков экрана устройства
Запись нажатий клавиш через Android Accessibility Services

Каждое приложение использует отдельный проект Firebase и сервер C2 для передачи данных, которые шифруются с использованием заранее заданного ключа AES перед отправкой.

Как защитить свои устройства?

Хотя вредоносные приложения уже были удалены из Google Play и APKPure, пользователям рекомендуется вручную удалить их и проверить устройства с помощью инструментов безопасности, чтобы устранить любые остатки инфекции. В критических случаях может потребоваться сброс до заводских настроек.

Google Play Protect также способен блокировать известные вредоносные приложения, поэтому включение этой функции на обновленных устройствах Android может помочь защитить от KoSpy. Представитель Google подтвердил, что все приложения KoSpy, выявленные Lookout, были удалены из Google Play, а соответствующие проекты Firebase также были закрыты.

«Использование регионального языка указывает на то, что это было нацелено как целевое вредоносное ПО. До любых установок пользователями последний образец вредоносного ПО, обнаруженный в марте 2024 года, был удален из Google Play,» — сообщил Google изданию BleepingComputer.

«Google Play Protect автоматически защищает пользователей Android от известных версий этого вредоносного ПО на устройствах с Google Play Services, даже если приложения поступают из источников вне Play,» — добавили в Google.

Киберугроза KoSpy: Как северокорейские хакеры атакуют через Google Play