Cybersicherheitsexperten von Lookout haben eine hochentwickelte Spionage-Malware namens KoSpy identifiziert, die Android-Geräte ins Visier nimmt. Die Schadsoftware wird der nordkoreanischen Hackergruppe APT37 (auch bekannt als ScarCruft) zugeschrieben und wurde sowohl über den Google Play Store als auch die alternative Plattform APKPure verbreitet.
Umfang und Ziele der Malware-Kampagne
Die KoSpy-Kampagne startete im März 2022 und zeigt weiterhin aktive Entwicklung. Die Angreifer konzentrieren sich hauptsächlich auf koreanisch- und englischsprachige Benutzer. Sicherheitsforscher identifizierten fünf manipulierte Apps, die als legitime Dienstprogramme getarnt waren, darunter Dateimanager, Sicherheitstools und Systemupdates.
Technische Funktionsweise und Verschleierungstaktiken
Die Malware implementiert fortschrittliche Tarnungstechniken. Die infizierten Anwendungen bieten tatsächlich die versprochene Funktionalität, installieren jedoch gleichzeitig heimlich den schadhaften Code. Nach der Installation ruft KoSpy verschlüsselte Konfigurationsdaten aus einer Firebase Firestore-Datenbank ab, wodurch traditionelle Erkennungsmechanismen umgangen werden.
Spionagefähigkeiten und Datenexfiltration
KoSpy verfügt über ein umfangreiches Arsenal an Überwachungsfunktionen:
– Extraktion persönlicher Daten und Zugangsdaten
– SMS-Überwachung und -Abfang
– Zugriff auf Kontakte und Anruflisten
– GPS-Standortverfolgung
– Unauthorisierter Dateizugriff
Infrastruktur und Attribution
Die Malware nutzt eine dezentrale Infrastruktur mit separaten Firebase-Projekten und Command-and-Control-Servern für jede infizierte Anwendung. Gestohlene Daten werden mittels statischer AES-Verschlüsselung gesichert übertragen. Die Verbindung zu APT37 wurde anhand übereinstimmender IP-Adressen und Domain-Muster aus früheren Kampagnen der Gruppe hergestellt.
Obwohl die schadhaften Apps aus den offiziellen Stores entfernt wurden, wird Android-Nutzern dringend empfohlen, ihre Geräte auf KoSpy-Infektionen zu überprüfen. Bei einem positiven Befund ist neben der sofortigen Deinstallation der betroffenen App eine vollständige Systemprüfung mit aktueller Antivirensoftware erforderlich. In manchen Fällen kann ein Factory Reset die einzige sichere Option zur vollständigen Malware-Entfernung sein. Präventiv sollten Nutzer Apps nur aus vertrauenswürdigen Quellen installieren und regelmäßige Sicherheitsupdates durchführen.
