Исследователи компании в сфере кибербезопасности Lookout сообщили, что связанная с Северной Кореей группировка хакеров загрузила шпионское программное обеспечение для Android в магазин приложений Google Play. Злоумышленники обманом смогли заставить некоторых пользователей загрузить этот софт.
Lookout описывает кампанию с участием нескольких образцов шпионского ПО для Android под названием KoSpy. Специалисты компании с «высокой степенью уверенности» связывают программу с северокорейским правительством. Одно из таких приложений в Google Play загрузили более 10 раз.
Исследователи не смогли назвать цели северокорейской шпионской кампании. Учитывая всего несколько загрузок, шпионское ПО было нацелено на конкретных людей, поделился директор по исследованиям в области безопасности Lookout Кристоф Хебейзен.
KoSpy собирает «огромный объём конфиденциальной информации», включая СМС, журналы вызовов, данные о местоположении, файлы и папки на устройстве, нажатия клавиш, сведения о сети Wi-Fi и список установленных приложений. Вредоносное ПО способно записывать звук, делать снимки экрана во время использования и фотографировать на камеры.
Для получения начальных конфигураций KoSpy использовало Filestore — облачную базу данных, созданную на основе инфраструктуры Google Cloud, выяснили в Lookout. Представитель Google Эд Фернандес заявил, что все выявленные исследователями шпионские приложения были удалены из Google Play, а проекты Firebase отключены, включая образец KoSpy.
Кроме того, Lookout обнаружила некоторые шпионские приложения в стороннем магазине приложений для Android — APKPure. Представитель площадки заявил, что компания не получала уведомлений от Lookout.
Кристоф Хебейзен и старший научный сотрудник по вопросам безопасности Lookout Алемдар Исламоглу сообщили об отсутствии информации о том, кто именно мог стать целью KoSpy. Однако в Lookout считают, что, скорее всего, кампания направлена на жителей Южной Кореи, говорящих на английском или корейском языках.
Оценка Lookout основана на названиях обнаруженных приложений, некоторые из них были на корейском языке, а пользовательский интерфейс также поддерживал и английский язык.
Исследователи выяснили, что шпионские приложения используют домены и IP-адреса, которые ранее нашли во вредоносном ПО и инфраструктуре управления, используемой северокорейскими хакерами из группировок APT37 и APT43. Злоумышленникам из КНДР довольно часто удаётся размещать софт в официальных магазинах приложений, резюмировал Хебейзен. Эксперты Lookout обнаружили новое шпионское ПО для Android под названием KoSpy. Это вредонос связано с северокорейскими хакерами и был найден в официальном магазине Google Play и стороннем магазине APKPure в составе как минимум пяти приложений.
По данным исследователей, спайварь связана с северокорейской группировкой APT37 (она же ScarCruft). Кампания с использованием этого вредоноса активна с марта 2022 года, причем судя по образцам малвари, хакеры активно совершенствуют свою разработку.
Шпионская кампания нацелена в основном на корейских и англоязычных пользователей. KoSpy маскируется под файловые менеджеры, защитные инструменты и обновления для различного ПО.
Суммарно эксперты Lookout обнаружили пять приложений: 휴대폰 관리자 (Phone Manager), File Manager (com.file.exploer), 스마트 관리자 (Smart Manager), 카카오 보안 (Kakao Security) и Software Update Utility.
Почти все вредоносные приложения действительно предоставляют хотя бы часть обещанных функций, но вместе с этим загружают KoSpy в фоновом режиме. Единственное исключение — Kakao Security. Это приложение лишь показывает фальшивое системное окно, запрашивая доступ к опасным разрешениям.
Исследователи приписывают эту кампанию APT37 на основании IP-адресов, которые ранее были связаны с операциями северокорейских хакеров, доменов, которые использовались для распространения малвари Konni, а также инфраструктуры, которая пересекается с другой хак-группой из КНДР — APT43.
После активации на устройстве KoSpy извлекает зашифрованный файл конфигурации из БД Firebase Firestore, чтобы избежать обнаружения.
Затем вредонос подключается к управляющему серверу и проверяет, не запущен ли он в эмуляторе. Малварь может получать обновленные настройки с сервера злоумышленников, дополнительные полезные нагрузки для выполнения, а также может динамически активироваться или деактивироваться с помощью специального переключателя.
В основном KoSpy ориентирован на сбор данных, его возможности таковы:
перехват SMS и журналов звонков;
отслеживание GPS-положения жертвы в режиме реального времени;
считывание и извлечение файлов из локального хранилища;
использование микрофона устройства для записи звука;
использование камеры устройства для съемки фото и видео;
создание скриншотов экрана устройства;
перехват нажатий клавиш с помощью Android Accessibility Services.
При этом каждое приложение использует отдельный проект Firebase и сервер для «слива» данных, которые перед передачей шифруются с помощью жестко закодированного ключа AES.
Хотя в настоящее время вредоносные приложения уже удалены из Google Play и APKPure, исследователи предупреждают, что пользователям придется вручную удалить малварь со своих устройств, а также просканировать свои гаджеты с помощью защитных инструментов, чтобы избавиться от остатков заражения. В некоторых случаях может потребоваться сброс до заводских настроек.