据网络安全公司Lookout透露,一群与朝鲜政权有联系的黑客,在Google Play应用商店上载Android间谍软件,并成功诱使一些人下载。
Lookout在周三发布的一份报告中详细介绍了一项涉及多个不同样本的Android间谍软件的间谍活动,该公司将这些软件有很高的置信度归因于朝鲜政府。
根据官方Android应用商店上该应用程序页面的缓存快照显示,至少有一个间谍软件在Google Play上下载超过10次。Lookout的报告中包含该页面的截图。
过去几年,朝鲜黑客一直成为头条新闻,尤其以他们大胆的加密劫匪行动而闻名,比如最近从加密交易所Bybit窃取了大约14亿美元的以太币,目的是为了推动该国被禁止的核武器计划。然而,在这起新的间谍软件活动中,一切迹象都表明这是一次监视行动,基于Lookout所确定的间谍软件应用程序的功能。
尽管朝鲜间谍软件活动的目标尚不清楚,但Lookout的安全情报研究主任Christoph Hebeisen告诉TechCrunch,在只有少数下载的情况下,这款间谍软件应用程序很可能针对特定人群。
根据Lookout的说法,KoSpy收集“大量敏感信息”,包括短信文本消息、通话记录、设备的位置数据、设备上的文件和文件夹、用户输入的按键信息、Wi-Fi网络详情和已安装应用程序列表。
KoSpy还可以录制音频、使用手机摄像头拍照,并捕捉屏幕截图。
Lookout还发现KoSpy依赖Firestore,这是一个构建在Google云基础设施上的云数据库,用于检索“初始配置”。
Google发言人Ed Fernandez告诉TechCrunch,Lookout向公司分享了报告,“所有被识别的应用程序都已从Play中删除,Firebase项目也已停用”,包括曾在Google Play上的KoSpy样本。
Fernandez表示,“Google Play通过Google Play服务自动保护用户免受已知版本的此恶意软件。”
谷歌未就有关报告的一系列具体问题发表评论,包括谷歌是否认同归因于朝鲜政权等Lookout报告的细节。
联系我们
如果您对KoSpy或其他间谍软件有更多信息?可以在非工作设备和网络上通过Signal与Lorenzo Franceschi-Bicchierai(电话号码+1 917 257 1382)、Telegram和Keybase(用户名@lorenzofb)或电子邮件联系,也可以通过SecureDrop联系TechCrunch。报告还称,Lookout发现一些间谍软件应用程序在第三方应用商店APKPure上。APKPure发言人表示,公司没有收到Lookout的“任何邮件”。
控制官方Google Play页面上托管间谍软件应用程序的开发者邮件地址的人未回复TechCrunch的置评请求。
Lookout的Hebeisen和高级工作人员安全情报研究员Alemdar Islamoglu告诉TechCrunch,虽然Lookout没有关于谁具体可能被定向攻击的信息,但该公司确信这是一场高度针对性的活动,很可能针对那些说英语或韩语的韩国人。
Lookout的评估基于他们发现的应用程序名称,其中一些是韩文,以及一些应用程序具有韩文标题且用户界面支持这两种语言的事实。
Lookout还发现,这些间谍软件应用程序使用了此前被确认为朝鲜政府黑客组织APT37和APT43使用的恶意软件和命令控制基础设施中存在的域名和IP地址。
Hebeisen说:“关于朝鲜威胁行为者的令人着迷之处在于,他们似乎经常成功地将应用程序放入官方应用商店中。”
