A KoSpy névre keresztelt új Android spyware legalább öt fertőzött alkalmazáson keresztül jutott be a Google Play Áruházba, valamint az APKPure nevű harmadik féltől származó alkalmazásboltba.
A Lookout biztonsági kutatói szerint a kémprogram az APT37 (ScarCruft) nevű észak-koreai kibercsoporthozköthető, mivel olyan IP-címeket, domaineket és infrastrukturális kapcsolatokat használ, amelyek más észak-koreai fenyegetésekkel, például az APT43-mal is összefüggésbe hozhatók. A jelentések szerint a kampány már 2022 márciusa óta aktív, és a támadók folyamatosan fejlesztik a malware-t, hogy hatékonyabbá és nehezebben észlelhetővé tegyék.
Ezek az alkalmazások terjesztették a KoSpy-t:
- Phone Manager
- File Manager
- Smart Manager
- Kakao Security
- Software Update Utility
A fertőzött alkalmazások látszólag hasznos funkciókat kínáltak, miközben a háttérben telepítették és futtatták a KoSpy spyware-t. Az egyetlen kivétel a Kakao Security volt, amely csupán egy megtévesztő rendszerablakot jelenített meg, miközben próbált hozzáférést kérni az eszköz érzékeny adataihoz.
A kampány elsősorban koreai és angol nyelvű felhasználókat célzott meg. A KoSpy aktiválás után egy titkosított konfigurációs fájlt tölt le egy Firebase Firestore adatbázisból, hogy elkerülje a víruskeresők figyelmét. Ezt követően kapcsolódik egy vezérlőszerverhez (C2), amely ellenőrzi, hogy fizikai eszközön vagy emulátoron fut-e. A malware további adatok letöltésére is képes, valamint egy “on/off” kapcsolóval dinamikusan aktiválható vagy deaktiválható. Az ellopott adatokat egy előre beágyazott AES titkosítókulccsal kódolva továbbítja a támadók felé.
KoSpy – kiterjedt adatlopási képességek
A KoSpy spyware a következő módokon képes érzékeny adatok gyűjtésére az áldozatok eszközeiről:
- Lehallgatja az SMS-eket és a hívásnaplókat
- Valós időben követi az áldozat GPS-helyzetét
- Beolvassa és kiszűri a helyi tárhelyen tárolt fájlokat
- Hangot rögzít a készülék mikrofonjával
- Fényképeket és videókat készít a telefon kamerájával
- Képernyőképeket rögzít az eszköz kijelzőjéről
- Billentyűleütéseket naplóz az Android kisegítő szolgáltatásain keresztül
Mit tehetnek az érintett felhasználók?
Bár a fertőzött alkalmazásokat a Google és az APKPure már eltávolította, a felhasználóknak manuálisan kell törölniük azokat a készülékeikről. Ezen kívül ajánlott:
- Egy teljes körű vírusellenőrzés lefuttatása
- Minden fontos fiók és banki hozzáférés jelszavának módosítása
- A gyári beállítások visszaállítása súlyos fertőzés esetén
Hogyan védekezhetünk a hasonló fenyegetések ellen?
A Google Play Protect beépített védelmet nyújt az ismert rosszindulatú alkalmazások ellen, ezért érdemes engedélyezni és folyamatosan naprakészen tartani. Továbbá, ajánlott kizárólag hivatalos alkalmazásboltokból telepíteni appokat, és ellenőrizni az alkalmazások által kért engedélyeket.
A KoSpy spyware esete ismét rávilágít arra, hogy mennyire fontos az óvatosság és a biztonságos alkalmazáshasználat az Android felhasználók számára.
(via)
