Північнокорейські хакери завантажили шпигунське програмне забезпечення у Google Play

Група хакерів, пов’язаних із північнокорейським режимом, успішно завантажила шпигунське програмне забезпечення Android у магазин додатків Google Play, обманом змусивши деяких користувачів завантажити його, згідно зі звітом компанії з кібербезпеки Lookout.

У звіті Lookout детально описується шпигунська кампанія, що включає кілька різних зразків шпигунського програмного забезпечення Android, яке отримало назву KoSpy, і яке компанія з “високою впевненістю” приписує північнокорейському уряду.

Один із шпигунських застосунків у певний момент був доступний у Google Play і був завантажений понад 10 разів, про що свідчить кешований знімок сторінки програми. Lookout включив скріншот цієї сторінки у свій звіт.

У той час як північнокорейські хакери відомі своїми криптовалютними крадіжками, ця кампанія, схоже, зосереджена на спостереженні, виходячи з функціональності додатків KoSpy.

Конкретні цілі кампанії невідомі, але Lookout припускає, що обмежена кількість завантажень вказує на вузькоспрямовану операцію.

KoSpy збирає широкий спектр конфіденційних даних, включаючи SMS-повідомлення, журнали викликів, дані про місцезнаходження, файли, натискання клавіш, дані мережі Wi-Fi та список встановлених додатків. Він також може записувати аудіо, робити знімки камерами телефону та робити скріншоти.

Lookout виявив, що KoSpy використовує Firestore, хмарну базу даних на Google Cloud, для отримання початкових конфігурацій.

Google підтвердив, що Lookout поділився звітом, і що всі ідентифіковані додатки та проєкти Firebase були видалені.

Lookout також виявив шпигунські додатки в сторонньому магазині додатків APKPure.  Додатки використовували доменні імена та IP-адреси, раніше пов’язані з північнокорейськими хакерськими групами APT37 та APT43.

Lookout вважає, що кампанія, ймовірно, була спрямована на осіб у Південній Кореї, які говорять англійською або корейською мовами, на основі назв додатків та мовної підтримки.