Команда дослідників кібербезпеки Lookout виявила масштабну шпигунську кампанію, спрямовану на користувачів Android-пристроїв. Зловмисне програмне забезпечення, назване KoSpy, пов’язують з відомим північнокорейським хакерським угрупованням APT37 (ScarCruft). Особливу небезпеку становить той факт, що шкідливе ПЗ поширювалося через офіційний магазин Google Play та популярну альтернативну платформу APKPure.
Хронологія та масштаби кібератак
Активна фаза розповсюдження KoSpy розпочалася в березні 2022 року і продовжується дотепер. Основними цілями зловмисників стали користувачі, що спілкуються корейською та англійською мовами. Експерти ідентифікували п’ять шкідливих додатків, які маскувалися під легітимні утиліти для керування файлами, інструменти безпеки та системні оновлення.
Технічні особливості та механізми зараження
KoSpy демонструє високий рівень технічної складності та використовує передові методи приховування своєї активності. Шкідливі додатки надають користувачам заявлений функціонал, одночасно встановлюючи приховані компоненти. Для уникнення виявлення системами безпеки малвар отримує зашифровану конфігурацію з бази даних Firebase Firestore.
Функціональні можливості шпигунського ПЗ
Аналіз KoSpy виявив широкий спектр можливостей для кібершпигунства:
– Несанкціонований доступ до конфіденційних даних користувача
– Моніторинг та перехоплення SMS-повідомлень
– Збір інформації про контакти та історію дзвінків
– Постійне відстеження геолокації пристрою
– Неавторизоване копіювання файлів з пристрою
Інфраструктура та методи захисту даних
Кожен шкідливий додаток використовує власну інфраструктуру для ексфільтрації даних, включаючи унікальні проекти Firebase та командні сервери. Перед передачею викрадена інформація шифрується статичним ключем AES. Зв’язок KoSpy з APT37 підтверджується використанням характерних для північнокорейських хакерів IP-адрес та доменних імен.
Хоча компанія Google вже видалила виявлені шкідливі додатки з Play Store, користувачам Android наполегливо рекомендується перевірити свої пристрої на наявність зараження. При виявленні KoSpy необхідно не лише видалити скомпрометований додаток, але й провести повне антивірусне сканування системи. У деяких випадках для гарантованого видалення всіх компонентів шкідливого ПЗ може знадобитися повне скидання пристрою до заводських налаштувань. Додатково рекомендується регулярно оновлювати операційну систему та встановлювати додатки виключно з перевірених джерел.
