KoSpy представляет собой шпионскую программу для Android, разработанную северокорейской группой APT37, также известной как ScarCruft. Данная угроза нацелена на корейских и англоязычных пользователей и впервые была обнаружена в марте 2022 года. Шпионское ПО маскируется под различные служебные приложения, используя для своего распространения Google Play Store и сторонние магазины приложений.
Операционные возможности KoSpy
Основная цель KoSpy заключается в сборе конфиденциальной информации с зараженных устройств. Программа использует обманчивые интерфейсы, чтобы заманить пользователей и незаметно активировать вредоносные функции. Например:
- Утилита обновления программного обеспечения показывает экран реального обновления.
- Приложение Kakao Security создает поддельный интерфейс, запрашивающий множество разрешений.
Инфраструктура и механизм работы
Операционный механизм KoSpy включает в себя двухэтапную инфраструктуру командования и контроля (C2). Первоначальные настройки извлекаются из Firebase Firestore, позволяя хакерам:
- Активировать или деактивировать шпионское ПО.
- Изменить адреса серверов C2 для повышения устойчивости к обнаружению.
Технологические аспекты KoSpy
При инициализации KoSpy проводит проверку, чтобы убедиться, что устройство не является эмулятором, и что дата находится после заданной даты активации. Это служит для сокрытия злонамеренных намерений. KoSpy может собирать следующие ключевые данные:
- SMS-сообщения
- Журналы вызовов
- Геолокация
- Файлы
- Аудиозаписи
- Скриншоты
Безопасность и коммуникация
Вредоносная программа использует жесткое шифрование AES для защиты данных, передаваемых на серверы C2. Запросы, отправляемые на серверы, включают как данные конфигурации, так и загружаемые плагины. Полученные документы в формате JSON позволяют настраивать параметры, такие как частота повторных вызовов и текст пользовательского интерфейса в зависимости от языковых предпочтений.
Связь с другими группами и текущая ситуация
Примечательно, что есть признаки использования общей инфраструктуры с APT43, что усложняет установление причастности к этой деятельности. По данным компании Lookout, Google удалила вредоносные приложения из своего Play Store, однако остатки шпионского ПО все еще могут оставаться на сторонних платформах.
«Совпадение инфраструктуры и тактики APT37 и APT43 свидетельствует о сложностях, связанных с отслеживанием действий северокорейских хакеров,» — отмечают эксперты в области кибербезопасности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "KoSpy: Новая угроза кибербезопасности от APT37".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.