Специалисты по кибербезопасности компании Lookout выявили новую угрозу для пользователей Android — шпионское программное обеспечение KoSpy. Вредоносная программа, связанная с северокорейской хакерской группировкой APT37 (также известной как ScarCruft), распространялась через официальный магазин Google Play и стороннюю платформу APKPure.
Масштабы и цели кампании
Кампания по распространению KoSpy началась в марте 2022 года и продолжает активно развиваться. Основными мишенями злоумышленников стали корейско- и англоязычные пользователи. Исследователи обнаружили пять вредоносных приложений, замаскированных под легитимные утилиты: файловые менеджеры, инструменты защиты и системные обновления.
Механизм работы вредоносного ПО
KoSpy использует продвинутые методы маскировки и распространения. Большинство зараженных приложений действительно предоставляют заявленный функционал, одновременно устанавливая вредоносный код. После установки малварь извлекает зашифрованную конфигурацию из базы данных Firebase Firestore, что помогает избежать обнаружения защитными системами.
Основные возможности KoSpy
Вредоносное ПО обладает широким спектром шпионских функций, включая:
— Кража персональных данных и учетных записей
— Перехват SMS-сообщений
— Доступ к контактам и истории звонков
— Отслеживание геолокации
— Кража файлов с устройства
Технические особенности и защита
Каждое вредоносное приложение использует отдельную инфраструктуру для экфильтрации данных, включая уникальные проекты Firebase и серверы. Похищенная информация шифруется с помощью статического ключа AES перед передачей злоумышленникам. Специалисты связывают KoSpy с APT37 на основании используемых IP-адресов и доменов, ранее замеченных в операциях северокорейских хакеров.
Хотя вредоносные приложения уже удалены из официальных магазинов, пользователям рекомендуется проверить свои устройства на наличие заражения. В случае обнаружения KoSpy необходимо не только удалить вредоносное приложение, но и провести полное сканирование устройства антивирусным ПО. В некоторых случаях может потребоваться полный сброс устройства к заводским настройкам для гарантированного удаления всех компонентов малвари.
