.
Um grupo de hackers com links para o regime norte -coreano carregou o Android Spyware na Google Play App Store e conseguiu enganar algumas pessoas a baixá -lo, de acordo com a empresa de segurança cibernética Lookout.
Em um relatório publicado na quarta -feiraE compartilhado exclusivamente com o Strong The One com antecedência, o Lookout detalha uma campanha de espionagem envolvendo várias amostras diferentes de um spyware Android que chama de Kospy, que a empresa atribui com “alta confiança” ao governo norte -coreano.
Pelo menos um dos aplicativos Spyware foi em algum momento no Google Play e baixou mais de 10 vezes, de acordo com um instantâneo em cache da página do aplicativo na App Store oficial do Android. O Lookout incluiu uma captura de tela da página em seu relatório.
Nos últimos anos, os hackers norte -coreanos obtiveram manchetes, especialmente por seus ousados criptografia, como o recente roubo de cerca de US $ 1,4 bilhão em Ethereum do Bybit de troca de criptografia, com o objetivo de promover o programa de armas nucleares proibidas do país. No caso desta nova campanha de spyware, no entanto, todos os sinais apontam para que esta seja uma operação de vigilância, com base na funcionalidade dos aplicativos de spyware identificados pelo Lookout.
Os objetivos da campanha de spyware norte -coreanos não são conhecidos, mas Christoph Hebeisen, diretor de pesquisa de inteligência de segurança da Lookout, disse ao Strong The One que, com apenas alguns downloads, o aplicativo Spyware provavelmente estava direcionando pessoas específicas.
De acordo com o Lookout, o Kospy coleta “uma extensa quantidade de informações confidenciais”, incluindo: mensagens de texto SMS, logs de chamadas, dados de localização do dispositivo, arquivos e pastas no dispositivo, teclas digitadas pelo usuário, detalhes da rede Wi-Fi e uma lista de aplicativos instalados.
O Kospy também pode gravar áudio, tirar fotos com as câmeras do telefone e capturar capturas de tela da tela em uso.
Lookout também descobriu que Kospy confiava Firestoreum banco de dados em nuvem criado na infraestrutura do Google Cloud para recuperar “configurações iniciais”.
O porta -voz do Google, Ed Fernandez, disse ao Strong The One que Lookout compartilhou seu relatório com a empresa, e “todos os aplicativos identificados foram removidos do jogo [and] O Firebase projeta desativado ”, incluindo a amostra Kospy que estava no Google Play.
“O Google Play protege automaticamente os usuários de versões conhecidas desse malware em dispositivos Android com serviços do Google Play”, disse Fernandez.
O Google não comentou uma série de perguntas específicas sobre o relatório, incluindo se o Google concordou com a atribuição ao regime norte -coreano e outros detalhes sobre o relatório do Lookout.
Contate-nos
Você tem mais informações sobre Kospy, ou outro spyware? A partir de um dispositivo e uma rede que não são de trabalho, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no sinal em +1 917 257 1382, ou via telegrama e keybase @lorenzofb, ou email. Você também pode entrar em contato com o Strong The One via Securedrop.
O relatório também disse que o Lookout encontrou alguns dos aplicativos de spyware na Apkpure da App Store de terceiros. Um porta -voz da APKPure disse que a empresa não recebeu “nenhum e -mail” da Lookout.
A pessoa, ou pessoas, no controle do endereço de e -mail do desenvolvedor listado na página do Google Play que hospeda o aplicativo Spyware não respondeu ao pedido de comentário da Strong The One.
O Lookout’s Hebeisen, junto com Alemdar Islamoglu, pesquisador sênior de inteligência de segurança da equipe, disse ao Strong The One que, embora Lookout não tenha nenhuma informação sobre quem especificamente pode ter sido alvo – hackeado, efetivamente – a empresa está confiante de que essa era uma campanha altamente direcionada, provavelmente seguindo pessoas na Coréia do Sul, que falam inglês ou coreano.
A avaliação do Lookout é baseada nos nomes dos aplicativos que eles encontraram, alguns dos quais estão em coreanos e que alguns dos aplicativos têm títulos de idiomas coreanos e a interface do usuário suporta ambos os idiomas, de acordo com o relatório.
O Lookout também descobriu que os aplicativos Spyware usam nomes de domínio e endereços IP que foram anteriormente identificados como presentes em malware e infraestrutura de comando e controle usados pelos grupos de hackers do governo norte -coreano APT37 e APT43.
“O que é fascinante sobre os atores de ameaças norte -coreanos é que eles são, ao que parece, com um pouco bem -sucedidos de colocar aplicativos em lojas oficiais de aplicativos”, disse Hebeisen.
.
