Эксперты Lookout обнаружили новое шпионское ПО для Android под названием KoSpy. Этот вредонос связан с северокорейскими хакерами и был найден в официальном магазине Google Play и стороннем магазине APKPure в составе как минимум пяти приложений.
По данным исследователей, спайварь связана с северокорейской группировкой APT37 (она же ScarCruft). Кампания с использованием этого вредоноса активна с марта 2022 года, причем судя по образцам малвари, хакеры активно совершенствуют свою разработку.
Шпионская кампания нацелена в основном на корейских и англоязычных пользователей. KoSpy маскируется под файловые менеджеры, защитные инструменты и обновления для различного ПО.
Суммарно эксперты Lookout обнаружили пять приложений: 휴대폰 관리자 (Phone Manager), File Manager (com.file.exploer), 스마트 관리자 (Smart Manager), 카카오 보안 (Kakao Security) и Software Update Utility.
Почти все вредоносные приложения действительно предоставляют хотя бы часть обещанных функций, но вместе с этим загружают KoSpy в фоновом режиме. Единственное исключение — Kakao Security. Это приложение лишь показывает фальшивое системное окно, запрашивая доступ к опасным разрешениям.
Исследователи приписывают эту кампанию APT37 на основании IP-адресов, которые ранее были связаны с операциями северокорейских хакеров, доменов, которые использовались для распространения малвари Konni, а также инфраструктуры, которая пересекается с другой хак-группой из КНДР — APT43.
После активации на устройстве KoSpy извлекает зашифрованный файл конфигурации из БД Firebase Firestore, чтобы избежать обнаружения.
Затем вредонос подключается к управляющему серверу и проверяет, не запущен ли он в эмуляторе. Малварь может получать обновленные настройки с сервера злоумышленников, дополнительные полезные нагрузки для выполнения, а также может динамически активироваться или деактивироваться с помощью специального переключателя.
В основном KoSpy ориентирован на сбор данных, его возможности таковы:
- перехват SMS и журналов звонков;
- отслеживание GPS-положения жертвы в режиме реального времени;
- считывание и извлечение файлов из локального хранилища;
- использование микрофона устройства для записи звука;
- использование камеры устройства для съемки фото и видео;
- создание скриншотов экрана устройства;
- перехват нажатий клавиш с помощью Android Accessibility Services.
При этом каждое приложение использует отдельный проект Firebase и сервер для «слива» данных, которые перед передачей шифруются с помощью жестко закодированного ключа AES.
Хотя в настоящее время вредоносные приложения уже удалены из Google Play и APKPure, исследователи предупреждают, что пользователям придется вручную удалить малварь со своих устройств, а также просканировать свои гаджеты с помощью защитных инструментов, чтобы избавиться от остатков заражения. В некоторых случаях может потребоваться сброс до заводских настроек.
«Использование регионального языка [в названиях приложений] указывает на то, что это было таргетированное вредоносное ПО. Последний образец вредоносной программы, обнаруженный в марте 2024 года, был удален из Google Play до того, как его успели установить пользователи», — сообщили СМИ представители Google.
