Sekelompok peretas dengan tautan ke rezim Korea Utara mengunggah spyware Android ke Google Play App Store dan dapat menipu beberapa orang untuk mengunduhnya, menurut perusahaan cybersecurity Lookout.
Dalam sebuah laporan yang diterbitkan pada hari Rabudan secara eksklusif dibagikan dengan TechCrunch sebelumnya, Lookout merinci kampanye spionase yang melibatkan beberapa sampel berbeda dari spyware Android yang disebut Kospy, yang dihubungkan oleh perusahaan dengan “kepercayaan tinggi” dengan pemerintah Korea Utara.
Setidaknya salah satu aplikasi Spyware berada di beberapa titik di Google Play dan diunduh lebih dari 10 kali, menurut snapshot yang di -cache dari halaman aplikasi di toko aplikasi Android resmi. Lookout menyertakan tangkapan layar halaman dalam laporannya.
Dalam beberapa tahun terakhir, peretas Korea Utara telah meraih berita utama terutama untuk pencurian kripto mereka yang berani, seperti pencurian baru -baru ini sekitar $ 1,4 miliar di Ethereum dari Crypto Exchange Bitbit, dengan tujuan memajukan program senjata nuklir yang dilarang di negara itu. Namun, dalam kasus kampanye Spyware baru ini, semua tanda menunjukkan ini adalah operasi pengawasan, berdasarkan fungsionalitas aplikasi Spyware yang diidentifikasi oleh Lookout.
Tujuan kampanye Spyware Korea Utara tidak diketahui, tetapi Christoph Hebeisen, direktur penelitian intelijen keamanan Lookout, mengatakan kepada TechCrunch bahwa hanya dengan beberapa unduhan, aplikasi Spyware kemungkinan menargetkan orang -orang tertentu.
Menurut Lookout, Kospy mengumpulkan “sejumlah besar informasi sensitif,” termasuk: pesan teks SMS, log panggilan, data lokasi perangkat, file dan folder pada perangkat, penekanan tombol yang dimasukkan pengguna, detail jaringan Wi-Fi, dan daftar aplikasi yang diinstal.
Kospy juga dapat merekam audio, mengambil gambar dengan kamera ponsel, dan menangkap tangkapan layar layar yang digunakan.
Lookout juga menemukan bahwa Kospy mengandalkan Firestoredatabase cloud yang dibangun di Infrastruktur Google Cloud untuk mengambil “konfigurasi awal.”
Juru bicara Google Ed Fernandez mengatakan kepada TechCrunch bahwa Lookout membagikan laporannya dengan perusahaan, dan “semua aplikasi yang diidentifikasi dihapus dari bermain [and] Proyek Firebase dinonaktifkan, ”termasuk sampel Kospy yang ada di Google Play.
“Google Play secara otomatis melindungi pengguna dari versi malware ini yang diketahui di perangkat Android dengan layanan Google Play,” kata Fernandez.
Google tidak mengomentari serangkaian pertanyaan spesifik tentang laporan tersebut, termasuk apakah Google setuju dengan atribusi dengan rezim Korea Utara, dan detail lainnya tentang laporan Lookout.
Hubungi kami
Apakah Anda memiliki informasi lebih lanjut tentang Kospy, atau spyware lainnya? Dari perangkat dan jaringan non-kerja, Anda dapat menghubungi Lorenzo Franceschi-Bicchierai dengan aman pada sinyal di +1 917 257 1382, atau melalui telegram dan keybase @lorenzofb, atau email. Anda juga dapat menghubungi TechCrunch melalui SecuredRop.
Laporan itu juga mengatakan Lookout menemukan beberapa aplikasi Spyware di apkpure App Store pihak ketiga. Seorang juru bicara APKPure mengatakan perusahaan tidak menerima “email apa pun” dari Lookout.
Orang, atau orang -orang, mengendalikan alamat email pengembang yang tercantum di halaman Google Play yang menampung aplikasi Spyware tidak menanggapi permintaan komentar TechCrunch.
Hebeisen Lookout, bersama dengan Alemdar Islamoglu, seorang peneliti intelijen keamanan staf senior, mengatakan kepada TechCrunch bahwa sementara Lookout tidak memiliki informasi tentang siapa yang secara khusus mungkin ditargetkan – diretas, secara efektif – perusahaan yakin bahwa ini adalah kampanye yang sangat ditargetkan, kemungkinan besar mengejar orang -orang di Korea Selatan, yang berbicara bahasa Inggris atau Korean.
Penilaian Lookout didasarkan pada nama -nama aplikasi yang mereka temukan, beberapa di antaranya dalam bahasa Korea, dan bahwa beberapa aplikasi memiliki judul bahasa Korea dan antarmuka pengguna mendukung kedua bahasa, menurut laporan tersebut.
Lookout juga menemukan bahwa aplikasi Spyware menggunakan nama domain dan alamat IP yang sebelumnya diidentifikasi hadir dalam malware dan infrastruktur komando dan kontrol yang digunakan oleh kelompok peretasan pemerintah Korea Utara APT37 dan APT43.
“Hal yang menarik tentang aktor ancaman Korea Utara adalah bahwa mereka, tampaknya, agak sering berhasil memasukkan aplikasi ke toko aplikasi resmi,” kata Hebeisen.
