Cybersecurity -onderzoekers van Lookout hebben Kospy ontdekt, een verfijnde Android -spyware die gekoppeld is aan Noord -Korea die erin is geslaagd de Google Play Store te infiltreren. De malware wordt toegeschreven aan Scarcruft (APT37), een Noord -Koreaanse hackgroep, en vermomt zichzelf als legitieme apps. Het richt zich op Koreaanse en Engelstalige gebruikers en kan gevoelige gegevens stelen terwijl ze maandenlang onopgemerkt blijven.
Hoe Kospy apparaten infecteert
Volgens de onderzoekers vermomt Kospy zich op een telefoon als een legitieme hulpprogramma -app. Lookout heeft ten minste vijf variaties gevonden van de malware die zichzelf vermomt als 휴대폰 관리자 관리자 관리자 (telefoonbeheer), bestandsbeheer, 스마트 관리자 관리자 관리자 (Smart Manager), 카카오 보안 보안 (Kakao Security) en software -updatehulpprogramma.
Gezien de legitiem klinkende namen, kan het gebruikers misleiden om het te installeren. Eenmaal geïnstalleerd, wacht het op activering. In tegenstelling tot typische malware, begint Kospy niet onmiddellijk met zijn spionageactiviteiten. Dat zou te achterdochtig zijn. In plaats daarvan ontdekten onderzoekers dat de Kospy -spyware afhankelijk was van legitieme platforms om bijgewerkte opdracht- en controle (C2) -adressen op te halen.
Dit stelt de aanvallers uit Noord -Korea in staat om de spyware op afstand te activeren, bij te werken en te wijzigen via Google Play en Firebase Firestore, een Google Cloud Service, zonder dat gebruikersinteractie nodig is, waardoor detectie veel moeilijker wordt.
Wat Kospy kan doen
Eenmaal actief kan Kospy sms -berichten stelen en logboeken oproepen. Het kan de GPS -locatie in realtime volgen, bestanden toegang krijgen en wijzigen, audio opnemen, foto’s maken en toetsaanslagen en screenshots maken.
De spyware -codes hebben gegevens gestolen met behulp van AES -codering voordat ze deze terugsturen naar C2 -servers, waardoor onderschepping moeilijker wordt. Bovendien kunnen aanvallers op afstand nieuwe plug -ins installeren en de spionagemogelijkheden van de malware uitbreiden zonder het apparaat opnieuw te financieren.
Kospy is gevaarlijk omdat het C2 -systeem geavanceerder is dan typische malware. In plaats van het Hardcodering van het C2 -adres in de malware zelf, wat andere malware meestal doet, haalt het het nieuwste C2 -adres op van Firebase Firestore. Het gebruikt Firebase als een relais en voorkomt dat beveiligingshulpmiddelen onmiddellijk kwaadaardig verkeer detecteren, vooral omdat Google Firestore bezit, waardoor er verzoeken aan lijken op legitiem verkeer.
Aanvallers kunnen de spyware ook op afstand afsluiten of opnieuw activeren en C2 -adressen wijzigen als deze wordt geblokkeerd. Dit maakt Kospy moeilijker te verstoren dan traditionele spyware. Google heeft deze kwaadaardige apps al verwijderd, maar het roept bezorgdheid uit over de beveiliging van officiële app -winkels. Probeer zoals altijd apps te downloaden van de juiste en vertrouwde app -winkels waar mogelijk. Zorg er ook voor dat u recensies controleert en zorg ervoor dat uw telefoon de nieuwste beveiligingsupdates heeft geïnstalleerd.
