Aplicația rău intenționată avea descărcări limitate înainte de a fi eliminată
Pe scurt: Malware -ul care își trece prin verificările Google și pe Play Store nu este un fenomen nou, dar continuă să se întâmple. Cel mai recent incident a implicat spyware care a fost încărcat în magazinul Android App de un grup de hackeri despre care se crede că este legat de regimul nord -coreean.
Cercetătorii de la Laboratorul de amenințări Lookout au descoperit spyware -ul, denumit Kospy, atribuind -o cu încredere medie grupului de nord -coreean APT Scarcruft, cunoscut și sub numele de APT37.
Spyware -ul a fost ascuns în tipul de aplicații false pe care le vedem atât de des în aceste cazuri: manageri de fișiere, utilități de actualizare software și software de securitate.
Kospy este capabil să pună o cantitate extinsă de informații sensibile de la dispozitivele pe care le infectează. Aceasta include mesaje SMS, jurnalele de apeluri, locația dispozitivului, accesul la fișiere și foldere pe stocarea locală, detaliile rețelei Wi-Fi și o listă de aplicații instalate.
Spyware -ul este, de asemenea, capabil să efectueze acțiuni și mai sinistre: înregistrarea și realizarea de fotografii cu camerele unui dispozitiv, captarea capturilor de ecran sau înregistrarea ecranului în timp ce se folosește și înregistrează apăsarea tastelor abuzând accesibilitatea.
Lookout explică faptul că datele colectate sunt trimise pe serverele de comandă și control (C2) după ce au fost criptate cu o cheie AES codată.
Kospy a efectuat, de asemenea, Firebase FireStore, baza de date găzduită de cloud Google, pentru a primi date de configurare inițială.
Cel puțin una dintre aceste aplicații infectate a făcut -o în magazinul Google Play și a fost disponibil public pentru o perioadă. O instantanee în cache a paginii de listare a magazinului Play pentru aplicația File Manager arată că a fost descărcată de mai mult de 10 ori.
Unele dintre aplicațiile rău intenționate au fost găsite și pe App Store de la terți.
Obiectivele acestei campanii dincolo de colectarea informațiilor nu sunt cunoscute. Christoph Hebeisen, directorul de cercetare a informațiilor de securitate a lui Lookout, a declarat pentru TechCrunch că numărul scăzut de descărcări din Play Store și în alte părți sugerează că aplicația Spyware a vizat probabil persoane specifice, probabil cei din Coreea de Sud care vorbesc engleza sau coreeană.
Purtătorul de cuvânt al Google, Ed Fernandez, a declarat pentru TechCrunch că Lookout și -a împărtășit raportul cu compania, iar toate aplicațiile identificate au fost acum eliminate din Play Store. Proiectele Firebase au fost, de asemenea, dezactivate.
Luna trecută, Bybit ByBit, cu sediul în Dubai, a fost vizat într-un Heist, perpetuat de notoriu, sponsorizat de statul din Coreea de Nord, echipat de hacking, grupul Lazarus Group. Au fost furate 1,5 miliarde de dolari în active digitale, ceea ce îl face cel mai mare cripto -cripto din istorie.
