Урядові хакери Північної Кореї завантажили шпигунське програмне забезпечення до магазину програм Android
Група хакерів, пов’язаних із північнокорейським режимом, завантажила шпигунське програмне забезпечення Android у магазин додатків Google Play і змогла обманом змусити деяких людей завантажити його, повідомляє компанія з кібербезпеки Lookout.
У звіті, який ексклюзивно поділився з TechCrunch заздалегідь, Lookout детально описує шпигунську кампанію, що включає кілька різних зразків шпигунського програмного забезпечення Android під назвою KoSpy, яке компанія з «високою впевненістю» приписує уряду Північної Кореї.
Згідно з кешованим знімком сторінки додатка в офіційному магазині додатків Android, принаймні один із шпигунських додатків колись був у Google Play і завантажений більше 10 разів. Lookout включив знімок екрана сторінки у свій звіт.
За останні кілька років північнокорейські хакери потрапили в заголовки новин, особливо через свої сміливі криптографічні пограбування, як-от нещодавня крадіжка близько 1,4 мільярда доларів в Ethereum з криптовалютної біржі Bybit з метою просування забороненої в країні програми ядерної зброї. Однак у випадку цієї нової кампанії шпигунського програмного забезпечення всі ознаки вказують на те, що це операція спостереження, заснована на функціональності шпигунських програм, визначених Lookout.
Цілі північнокорейської кампанії шпигунського програмного забезпечення невідомі, але Крістоф Хебейзен, директор з досліджень системи безпеки Lookout, сказав TechCrunch, що лише кілька завантажень шпигунського додатка, ймовірно, націлено на конкретних людей.
За словами Lookout, KoSpy збирає «велику кількість конфіденційної інформації», включаючи: текстові SMS-повідомлення, журнали викликів, дані про місцеперебування пристрою, файли та папки на пристрої, введені користувачем натискання клавіш, відомості про мережу Wi-Fi та список встановлених програм.
KoSpy також може записувати аудіо, робити фотографії за допомогою камери телефону та робити знімки екрану, що використовується.
Lookout також виявив, що KoSpy покладався на Firestore , хмарну базу даних, побудовану на інфраструктурі Google Cloud для отримання «початкових конфігурацій».
Представник Google Ед Фернандес розповів TechCrunch, що Lookout надіслав свій звіт компанії, і «всі виявлені програми були видалені з Play [і] проекти Firebase деактивовані», включаючи зразок KoSpy, який був у Google Play.
«Google Play автоматично захищає користувачів від відомих версій цього зловмисного програмного забезпечення на пристроях Android за допомогою сервісів Google Play», — сказав Фернандес.
Google не прокоментувала низку конкретних запитань щодо звіту, включно з тим, чи погоджується Google із приписуванням інформації північнокорейському режиму, та інші подробиці звіту Lookout.
У звіті також йдеться, що Lookout знайшов деякі програми-шпигуни в сторонньому магазині додатків APKPure. Представник APKPure сказав, що компанія не отримувала «жодних електронних листів» від Lookout.
Особа або люди, які контролюють адресу електронної пошти розробника, вказану на сторінці Google Play, на якій розміщено програму-шпигуна, не відповіли на запит TechCrunch про коментар.
Hebeisen з Lookout разом із Alemdar Islamoglu, старшим дослідником служби безпеки, повідомили TechCrunch, що хоча Lookout не має жодної інформації про те, хто конкретно міг стати мішенню — фактично зламаним — компанія впевнена, що це була цілеспрямована кампанія, яка, швидше за все, переслідувала людей у Південній Кореї, які розмовляють англійською або корейською.
Згідно зі звітом, оцінка Lookout базується на назвах знайдених програм, деякі з яких корейською мовою, а також на тому, що деякі з програм мають назви корейською мовою, а інтерфейс користувача підтримує обидві мови.
Lookout також виявив, що шпигунські додатки використовують доменні імена та IP-адреси, які раніше були визначені як присутні в зловмисному програмному забезпеченні та інфраструктурі командування та контролю, що використовується урядовими хакерськими групами Північної Кореї APT37 і APT43.
«Що дивує в північнокорейських злочинцях, це те, що вони, здається, досить часто успішно розміщують програми в офіційних магазинах додатків», — сказав Хебейсен.