Săptămâna şi ştirea despre malware, hack sau phishing! De această dată un grup de hackeri cu legături cu regimul nord-coreean a reușit să încarce un spyware Android pe Google Play Store, păcălind utilizatorii să îl descarce, potrivit unui raport al companiei de securitate cibernetică Lookout.
Raportul Lookout, publicat miercuri și împărtășit exclusiv cu TechCrunch, dezvăluie o campanie de spionaj în care au fost identificate mai multe mostre ale unui spyware Android numit KoSpy. Cercetătorii au atribuit cu „un grad ridicat de certitudine” această operațiune guvernului nord-coreean.
_enhanced.jpg)
Cel puțin una dintre aplicațiile infectate a fost prezentă pe Google Play și descărcată de peste 10 ori, conform unei copii cache a paginii aplicației. Lookout a inclus și o captură de ecran care demonstrează acest lucru.
În ultimii ani, hackerii nord-coreeni au fost asociați cu atacuri îndrăznețe asupra platformelor de criptomonede, precum furtul recent de aproximativ 1,4 miliarde de dolari în Ethereum de la Bybit. De această dată, însă, Lookout susține că scopul principal al campaniei nu a fost financiar, ci mai degrabă supravegherea unor persoane specifice.
„Având în vedere numărul redus de descărcări, spyware-ul pare să fi fost direcționat către ținte precise”, a declarat Christoph Hebeisen, director de cercetare în securitate la Lookout.
Spyware-ul KoSpy colectează o cantitate vastă de date sensibile, inclusiv:
- Mesaje SMS și istoricul apelurilor
- Date despre locația dispozitivului
- Fișiere și foldere de pe telefon
- Aplicațiile instalate
- Tastările introduse de utilizator
- Detalii despre rețelele Wi-Fi la care s-a conectat telefonul
Mai mult, KoSpy are capacitatea de a înregistra audio, de a realiza capturi de ecran și de a fotografia folosind camerele dispozitivului. Lookout a descoperit că spyware-ul utilizează Firestore, o bază de date în cloud oferită de Google, pentru a obține configurațiile inițiale ale aplicației.
„Google Play protejează automat utilizatorii de versiunile cunoscute ale acestui malware pe dispozitivele Android care rulează Google Play Services”, a declarat purtătorul de cuvânt al companiei, Ed Fernandez.
Cu toate acestea, Google nu a oferit un răspuns clar în privința implicării regimului nord-coreean în această campanie.
Lookout a identificat aplicații infectate și pe magazinul de aplicații terț APKPure. Cu toate acestea, un purtător de cuvânt al APKPure a afirmat că nu a primit nicio notificare oficială din partea Lookout cu privire la această problemă.
