گروهی از هکرهای مرتبط با کره شمالی توانسته اند برنامه های آلوده به جاسوسی در Google Play را راه اندازی کنند. به گفته شرکت امنیت سایبری در مورد Lookout ، این کمپین شامل چندین نمونه از جاسوسی Kospy Android است و حداقل یکی از این برنامه ها قبل از حذف بیش از 5 بار بارگیری شده است.
Lookout با اطمینان از Spyware Kospy به رژیم کره شمالی نسبت می دهد. این بدافزار اطلاعات حساس را از دستگاه های آلوده جمع می کند. از جمله پیام های متنی ، سوابق تماس ، مکان ، کلیدهای فشرده شده و لیستی از برنامه های نصب شده. علاوه بر این ، KOSPY می تواند عکس بگیرد و عکس بگیرد و یک تصویر دریافت کند. با توجه به Lookout ، Spyware از Firestore ، پایگاه داده Google برای دریافت تنظیمات پیکربندی استفاده می کند.
نگاه
اد فرناندزسخنگوی گوگل تأیید کرده است که تمام برنامه های جاسوسی شناسایی شده از Google Play حذف شده اند و پروژه های مرتبط با Firebase نیز غیرفعال شده اند. فرناندز توضیح داد که ابزار محافظت از Google Play در تلفن های مجهز به خدمات Google Play به طور خودکار کاربران را از نسخه های شناخته شده بدافزار محافظت می کند. با این حال ، گوگل درباره تأیید یا رد جاسوسی با دولت کره شمالی اظهار نظر نکرد.
به نظر می رسد کمپین اخیر جاسوسی کره شمالی بسیار کارگردانی شده است. محققان مواظب معتقدند که قربانیان بالقوه افرادی در کره جنوبی بودند که به انگلیسی یا کره ای مسلط هستند. این ارزیابی بر اساس نام برنامه های کاربردی کره ای و رابط ها و دامنه ها و آدرس های IP مرتبط با گروه های هکر کره شمالی APT37 و APT43 است.
مقالات مرتبط:
علاوه بر Google Play ، KOSPY در فروشگاه های شخص سوم مانند Apkpure مشخص شد. سخنگوی APKPURE اعلام کرده است که این شرکت تماس تلفنی برای جاسوسی دریافت نکرده است. همچنین ، توسعه دهنده برنامه آلوده ، که ایمیل وی در صفحه Google Play منتشر شده است ، به درخواست رسانه TechCrunch برای اظهار نظر پاسخ نداد.
حملات سایبری کره شمالی اغلب در مبادلات ارز دیجیتال و موسسات مالی متمرکز است. به عنوان مثال ، این کشور اخیراً حدود 1.5 میلیارد دلار اتریوم را از BYBIB کاهش داده است. با این حال ، یافته های مشاهده نشان می دهد که هدف از کمپین Kospy بیشتر روی جاسوسی و نظارت متمرکز است ، نه بر سرقت مالی.