Nowe spyware z Korei Północnej. Udaje przydatne aplikacje

Pomimo względnego spokoju wzdłuż linii demarkacyjnej między Koreą Północną i Południową, Pjongjang w dalszym ciągu podejmuje działania przeciwko innym krajom, w tym w zakresie cyber. Na łamach CyberDefence24 opisywaliśmy, jak dzięki sztucznej inteligencji jednemu z tamtejszych hakerów udało się dostać pracę w amerykańskiej firmie. To też ten kraj prowadził operacje phishingowe czy rozpowszechniał malware przy użyciu rozszerzeń do jednej z przeglądarek.

Z przodu użyteczność, z tyłu szpiegostwo

Teraz do katalogu działań dołączono aplikacje na smartfony. Serwis Cybernews podaje, że zidentyfikowano nowe oprogramowanie spyware przygotowane przez hakerów operujących z terenu Korei Północnej. Ekspertom z Lookout Threat Lab udało się znaleźć pięć apek, które były dostępne do pobrania ze Sklepu Google i Firebase Firestore.

Według stanowiska przygotowanego przez ekspertów, trzy aplikacje – zatytułowane Phone Manager,Smart Manager  oraz Software Update Uitility  – miały zapewnić prawidłowe funkcjonowanie telefonu. Apka Kakao Security  miała dbać o jego bezpieczeństwo, zaś File Manager  - umożliwić przeglądanie plików. W rzeczywistości jednak były to przynęty, które oferowały podstawowe funkcje lub otwierały systemowe okna, zaś w tle umożliwiały przestępcom śledzenie użytkownika.

Hakerzy mogli zdobyć pliki i nagrywać otoczenie

Podczas gdy właściciel telefonu zapoznawał się z nowo ściągniętą aplikacją i udzielił wymaganych przez nią uprawnień, spyware zaczynało działać. KoSpy – jak nazwano złośliwe oprogramowanie – pozyskiwało konfigurację z Firebase Firestore, sprawdzało czy nie ma do czynienia z emulatorem, po czym ściągało na urządzenie pluginy i dalsze ustawienia do śledzenia czynności na telefonie.

Według ekspertów Lookout Threat Lab, dzięki pobranej zawartości sprawcy mogli zdobyć m.in. wiadomości SMS, rejestry połączeń czy pliki. Możliwe było również przejęcie kontroli nad mikrofonem i aparatem w celu nagrania lub wykonania zdjęcia, zrobienie zrzutu ekranu czy przechwycenie szczegółów o sieci bezprzewodowej. Istniała także funkcja śledzenia naciśnięć przycisków.

Wszystkie aplikacje domyślnie wspierały język koreański, jednak ofiarą spyware mogły paść także osoby z innych krajów – poza Koreą, język automatycznie ustawiał się na angielski. KoSpy ma funkcjonować co najmniej od 2022 roku, zaś za jego powstanie i funkcjonowanie ma odpowiadać północnokoreańska grupa APT37, znana także jako ScarCruft. Jednocześnie, część domen wykorzystywanych przez spyware ma być powiązana z inną grupą z Korei Północnej - APT43.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na:[email protected].