ترتبط برامج التجسس Android الجديدة المسماة “Kospy” بممثلي التهديد الكوري الشمالي الذين تسللوا إلى Google Play ومتجر تطبيقات الطرف الثالث من خلال خمسة تطبيقات ضارة على الأقل.
وفقًا للباحثين في Lookout ، فإن برامج التجسس تُنسب إلى مجموعة التهديدات الكورية الشمالية APT37 (المعروفة أيضًا باسم “Scarcruft”). كانت الحملة نشطة منذ مارس 2022 ، حيث قامت الجهات الفاعلة في التهديد بتطوير البرامج الضارة بنشاط على أساس عينات أحدث.
تستهدف حملة برامج التجسس في المقام الأول المستخدمين الكوريين والإنجليزية من خلال إخفاء نفسها كمديرين للملفات وأدوات الأمان ومحديثات البرامج.
تم تحديد التطبيقات الخمسة التي تم تحديدها휴대폰 관리자 (مدير الهاتف)ومدير الملف (com.file.exploer)و스마트 관리자 (المدير الذكي)و카카오 보안 (كاكاو أمن)، وأداة تحديث البرنامج.
المصدر: Lookout
توفر التطبيقات الضارة على الأقل بعض الوظائف الموعودة ولكنها قم بتحميل برامج التجسس Kospy في الخلفية.
الاستثناء الوحيد هو أمان Kakao ، الذي يعرض فقط نافذة نظام مزيف أثناء طلب الوصول إلى الأذونات المحفوفة بالمخاطر.
المصدر: Lookout
نسبت الحملة إلى”https://www.bleepingcomputer.com/news/security/north-korean-hackers-scarcruft-breached-russian-missile-maker/” الهدف=”_blank” rel=”nofollow noopener”> APT37 استنادًا إلى عناوين IP المرتبطة مسبقًا بالعمليات الكورية الشمالية ، فإن المجالات التي سهلت توزيع”https://www.bleepingcomputer.com/news/security/north-korean-hackers-attack-eu-targets-with-konni-rat-malware/” الهدف=”_blank” rel=”nofollow noopener”> Konni Malware، والبنية التحتية التي تتداخل مع APT43 ، مجموعة تهديد أخرى برعاية DPRK.
تفاصيل kospy
بمجرد نشاطه على الجهاز ، يسترد Kospy ملف تكوين مشفر من قاعدة بيانات Firebase Firestore للتهرب من الكشف.
بعد ذلك ، يتصل بخادم الأمر والتحكم الفعلي (C2) ويقوم بتشغيل الشيكات لضمان عدم تشغيله في محاكي. يمكن للبرامج الضارة استرداد الإعدادات المحدثة من C2 ، والحمولة الإضافية للتنفيذ ، وتفعيلها/إلغاء تنشيطها ديناميكيًا عبر “on/off” يُحوّل.
إمكانيات جمع بيانات Kospy هي:
- الرسائل القصيرة وسجلات المكالمات اعتراض
- يتتبع موقع GPS الخاص بالضحية في الوقت الفعلي
- يقرأ الملفات وملفاتها من التخزين المحلي
- يستخدم ميكروفون الجهاز لتسجيل الصوت
- يستخدم كاميرا الجهاز لالتقاط الصور ومقاطع الفيديو
- يلتقط لقطات شاشة الجهاز
- سجلات مفاتيح السجلات عبر خدمات إمكانية الوصول إلى Android
يستخدم كل تطبيق مشروع Firebase منفصل وخادم C2 للترشيح البيانات ، والذي يتم تشفيره بمفتاح AES المتشددين قبل الإرسال.
على الرغم من أن تطبيقات برامج التجسس قد تمت إزالتها الآن من كل من Google Play و Apkpure ، إلا أن المستخدمين سيحتاجون إلى إلغاء تثبيتها يدويًا ومسحها بأدوات أمان لاقتلاع أي بقايا من العدوى من أجهزتهم. في الحالات الحرجة ، يوصى بإعادة تعيين المصنع.
تتمكن Google Play Protect أيضًا من حظر التطبيقات الضارة المعروفة ، وبالتالي فإن تمكينها على أجهزة Android الحديثة يمكن أن تساعد في الحماية من Kospy.
أكد متحدث باسم Google لـ BleepingComputer أن جميع تطبيقات Kospy”https://www.lookout.com/threat-intelligence/article/lookout-discovers-new-spyware-by-north-korean-apt37″ الهدف=”_blank” rel=”nofollow noopener”> تم تحديده بواسطة Lookout تمت إزالة من Google Play وأن مشاريع Firebase المقابلة تم إنزالها أيضًا.
“The use of regional language suggests this was intended as targeted malware. Before any user installations, the latest malware sample discovered in March 2024 was removed from Google Play,” أخبرت Google BleepingComputer.
“Google Play Protect automatically protects Android users from known versions of this malware on devices with Google Play Services, even when apps come from sources outside of Play.”