Mimo że Google od lat stara się uszczelnić sklep Google Play przed złośliwymi aplikacjami, kolejne incydenty pokazują, że cyberprzestępcy wciąż potrafią ominąć zabezpieczenia. Najnowszy przypadek dotyczy szpiegowskiego oprogramowania KoSpy, które — według badaczy z Lookout Threat Lab — zostało stworzone przez grupę hakerską ScarCruft, znaną również jako APT37, działającą na zlecenie reżimu Korei Północnej.
Złośliwe oprogramowanie KoSpy ukrywało się w pozornie niewinnych aplikacjach dostępnych zarówno na Google Play, jak i na popularnych alternatywnych platformach, takich jak APKPure. Były to m.in. menadżery plików, narzędzia do aktualizacji oprogramowania czy aplikacje bezpieczeństwa. Przynajmniej jedna z tych aplikacji była publicznie dostępna w sklepie Google Play. Zachowane kopie strony z Google Play pokazują, że aplikacja File Manager została pobrana ponad 10 razy, zanim została usunięta.
Złośliwe oprogramowanie KoSpy ukrywało się w pozornie niewinnych aplikacjach dostępnych zarówno na Google Play, jak i na popularnych alternatywnych platformach.
Co potrafiło KoSpy?
Złośliwe oprogramowanie KoSpy ma imponujący zestaw funkcji szpiegowskich, bo malware jest w stanie ukraść ogromną ilość poufnych informacji z zainfekowanych urządzeń. Obejmuje to wiadomości SMS, rejestry połączeń, lokalizację urządzenia, dostęp do plików i folderów w pamięci lokalnej, szczegóły sieci Wi-Fi i listę zainstalowanych aplikacji.
Oprogramowanie szpiegujące jest również w stanie wykonywać jeszcze bardziej zaawansowane działania: nagrywać i robić zdjęcia aparatami urządzeń, robić zrzuty ekranu lub nagrywać ekran podczas użytkowania oraz rejestrować naciśnięcia klawiszy poprzez nadużywanie ułatwień dostępu.
Zebrane dane były szyfrowane kluczem AES zapisanym w kodzie aplikacji i wysyłane na serwery Command and Control (C2). Dodatkowo KoSpy korzystało z Firebase Firestore, czyli chmurowej bazy danych Google, do odbierania danych konfiguracyjnych po pierwszym uruchomieniu.
Kto był celem ataku?
Eksperci z Lookout twierdzą, że kampania była skierowana na wybranych użytkowników. Relatywnie mała liczba pobrań sugeruje, że ofiary były starannie wyselekcjonowane - prawdopodobnie byli to obywatele Południowej Korei, posługujący się językiem angielskim lub koreańskim.
Rzecznik Google, Ed Fernandez, potwierdził, że firma otrzymała raport Lookout i usunęła wszystkie zidentyfikowane aplikacje ze sklepu Google Play. Dodatkowo zamknięto również projekty Firebase wykorzystywane przez hakerów do sterowania malwarem. To jednak kolejna odsłona globalnego problemu, z którym Google zmaga się od lat. Mimo stosowanych procedur i automatycznych systemów wykrywania, złośliwe oprogramowanie wciąż przedostaje się na Play Store, zagrażając użytkownikom na całym świecie.
Północnokoreańscy hakerzy w natarciu
ScarCruft, czyli APT37, to jedna z wielu północnokoreańskich grup hakerskich, działających w ramach ofensywnych operacji państwowych. W zeszłym miesiącu inne ugrupowanie, Lazarus Group, przeprowadziło największy w historii atak na giełdę kryptowalut Bybit, kradnąc 1,5 miliarda dolarów w cyfrowych aktywach.
Pokaż / Dodaj komentarze do: Uwaga na fałszywe aplikacje. Północnokoreańscy hakerzy znów w natarciu