KosPy: Všetko o severokórejskom špiónskom softvéri, ktorý napadol Android na celom svete

  • KosPy je pokročilý spyware distribuovaný prostredníctvom podvodných aplikácií v Obchode Google Play a alternatívnych obchodoch.
  • Malvér bol prepojený so severokórejskými štátnymi kybernetickými špionážnymi skupinami, ako sú APT37 (ScarCruft) a APT43 (Kimsuky).
  • Zničil osobné údaje, správy, hovory a polohu a ovládal kritické funkcie telefónu. Po upozornení od expertov z Lookout bol odstránený.
Joaquin Romero

9 minút

Získajte všetko o KosPy, severokórejskom špiónskom softvéri.

Bezpečnosť zariadení so systémom Android sa opäť dostala do centra pozornosti po odhalení sofistikovanej digitálnej špionážnej kampane organizovanej zo Severnej Kórey. Hlavnou postavou tejto zložitej zápletky je KosPy, špionážny softvér, ktorý sa maskovaný ako legitímne aplikácie dokázal infikovať tisíce mobilných telefónov po celom svete a zhromažďovať osobné a dôverné údaje od používateľov v rôznych krajinách. V tomto rozsiahlom článku si rozoberieme všetko, čo vieme o KosPy, od jeho pôvodu, spôsobu distribúcie a technických možností až po opatrenia prijaté na zastavenie jeho šírenia, spolu s užitočnými odporúčaniami, ako sa v budúcnosti chrániť pred podobnými hrozbami.

Ak ste si niekedy stiahli aplikáciu na správu súborov alebo zlepšenie zabezpečenia vášho zariadenia so systémom Android z obchodov, ako je Obchod Google Play alebo alternatívnych platforiem, toto vás veľmi zaujíma. Pozrime sa, ako sa tomuto špiónskemu softvéru podarilo vyhnúť bezpečnostným kontrolám, aké typy informácií dokázal zhromažďovať, prečo sa považuje za hrozbu spojenú so severokórejskými spravodajskými službami a ako rozpoznať varovné signály skôr, ako bude neskoro.

Čo je KosPy a kto za ním stojí?

KosPy je špionážny program detekovaný na zariadeniach so systémom Android a priamo prepojený so severokórejskými štátom podporovanými skupinami kyberšpionáže. Jeho existenciu zdokumentoval tím Lookout, firma zaoberajúca sa kybernetickou bezpečnosťou špecializujúca sa na hrozby pre mobilné zariadenia, ktorá zistila, že tento malvér bol hostovaný v zdanlivo neškodných aplikáciách dostupných v Obchode Google Play aj v obchodoch s aplikáciami tretích strán, ako napríklad APKPure.

Ako posielať živé fotografie na WhatsApp
Súvisiaci článok:
WhatsApp varuje pred spywarom, ktorý ohrozuje mobilnú bezpečnosť

KosPy sa primárne pripisuje skupine známej ako APT37 alebo ScarCruft, všeobecne známa pre svoje kybernetické špionážne operácie prepojené so severokórejskou vládou už viac ako desať rokov. Nielen to: Digitálna infraštruktúra, ktorú používa KosPy, je prepojená s ďalšou známou skupinou Kimsuky (APT43)., čo preukazuje úroveň koordinácie a technických zdrojov, ktorú si môžu dovoliť iba štátni aktéri.

Dajte si pozor na KosPy, špionážny softvér vyvinutý Severnou Kóreou

Metódy distribúcie: Takto KosPy infiltroval tisíce Androidov

Veľká vynaliezavosť (a nebezpečenstvo) KosPy spočíva v jeho spôsobe šírenia, keďže sa mu podarilo prekonať prísne kontroly spoločnosti Google a vkradnúť sa, akoby išlo o skutočnú aplikáciu., čo je problém, ktorý ohrozuje dôveru v oficiálne obchody s aplikáciami.

Medzi najvýznamnejšie techniky patria:

  • Podvodné aplikácie maskované ako úžitkové nástroje (správcovia súborov, nástroje na aktualizáciu softvéru, vylepšenia zabezpečenia atď.).
  • Prítomnosť Základné rozhrania a názvy v angličtine a kórejčine, ktorý je zameraný na konkrétne publikum.
  • Vrátane KosPy v aplikáciách ako «휴대폰 관리자 (správca telefónu)», «Správca súborov" 'Smart Manager (inteligentný manažér)», «카카오 보안 (Kakao Security)» a «Softvér Update Utility«. Všetky boli legitímne schválené v Obchode Google Play a dokonca replikované na APKPure.
  • Manipulácia s platformou Firebase ako infraštruktúra velenia a riadenia (C2) a dynamicky sťahovať ďalšie konfigurácie po nainštalovaní aplikácie do zariadenia obete.

Vývojár stojaci za týmito aplikáciami pôsobil pod pseudonymom „Android Utility Developer“ a dokonca poskytoval kontaktné e-mailové adresy, aby zostali nepovšimnutí. Po upozornení výskumníkov spoločnosť Google nielenže odstránila všetky infikované aplikácie zo svojho obchodu, ale tiež deaktivovala súvisiace projekty Firebase, čím prerušila komunikačný kanál medzi napadnutými zariadeniami a servermi kyberzločincov.

Ako sa KosPy správa po infikovaní zariadenia?

Hlavné obavy týkajúce sa KosPy sú široká škála údajov, ktoré dokáže zhromažďovať, a sofistikovanosť jeho metód extrakcie. Keď otvoríte jednu z týchto falošných aplikácií, KosPy sa spustí na pozadí, vloží svoj škodlivý kód, aby zostal nepozorovaný, a vyžiada si zvýšené prístupové oprávnenia.

Medzi najdôležitejšie technické schopnosti spyware patria:

  • Čítanie a exfiltrácia SMS správ.
  • získanie záznamy hovorov a kontakty.
  • Monitorovanie polohy GPS, sledovanie používateľov v reálnom čase.
  • Prístup k internetu súbory a priečinky uložené lokálne v telefóne.
  • Záznam ambientný zvuk používanie mikrofónu a fotografovanie cez kameru.
  • Zachytenie snímky obrazovky a nahrávky obrazovky, doslova špehujú všetko, čo sa prezerá alebo robí na mobile.
  • Zaznamenávanie stlačení klávesov a používania aplikácií využívaním služieb prístupnosti, čo môže umožniť zachytenie hesiel a prihlasovacích údajov.
  • Získanie informácií o siete WiFi, ku ktorým sa zariadenie pripája a zoznam nainštalovaných aplikácií.

Dáta sa prenášajú šifrovane (pomocou preddefinovaného algoritmu AES) na servery C2 kontrolované severokórejskými hackermi, čo sťažuje konvenčnú detekciu pri identifikácii úniku informácií.

Na koho sa KosPy zameriaval?

Hoci sa KosPy rozšíril po celom svete, väčšina útokov sa zameriavala na kórejsky a anglicky hovoriacich používateľov.. Jazyk aplikácií a požadované povolenia boli jedným z indícií použitých na filtrovanie potenciálnych obetí, ktoré sa jednoznačne zameriavali na Južnú Kóreu a anglicky hovoriace krajiny. Analýzy však podrobne opisujú aj infekcie v iných regiónoch vrátane Japonska, Vietnamu, Ruska, Nepálu, Číny, Indie, Kuvajtu, Rumunska a niekoľkých štátov Blízkeho východu.

Toto naznačuje strategický záujem na medzinárodnej úrovni, či už na prístup k relevantným osobným informáciám, alebo na špehovanie politických, obchodných alebo technologických hnutí.

Použite Airtag na špehovanie mobilu s Androidom
Súvisiaci článok:
Použite Airtag na špehovanie mobilu s Androidom

Vývoj kampane a reakcia spoločnosti Google

Prvý zdokumentovaný pohyb KosPy pochádza z marca 2022, hoci najnovšie vzorky boli vysledované až začiatkom minulého roka.. Podľa spoločností Google a Lookout boli po potvrdení existencie malvéru všetky súvisiace aplikácie z Obchodu Play odstránené. Okrem toho služba Google Play Protect v súčasnosti blokuje inštaláciu známych variantov KosPy, a to aj v prípade, že sú stiahnuté mimo oficiálneho obchodu.

Avšak, Neexistujú žiadne verejne dostupné údaje o tom, koľko stiahnutí sa uskutočnilo pred stiahnutím alebo koľko variantov mohlo kolovať bez povšimnutia.. Preto sa odporúča aktívne monitorovať povolenia aplikácií a tiež udržiavať systém Android a všetky aplikácie aktualizované najnovšími verziami zabezpečenia.

Vzťah medzi KosPy, ScarCruft (APT37), Kimsuky (APT43) a severokórejskými tajnými službami

Pripisovanie KosPy severokórejskej štátnej kybernetickej špionáži podporuje niekoľko technických a infraštruktúrnych detailov:

  • Použitá infraštruktúra (IP adresy a domény pre servery C2) bola použitá pri predchádzajúcich útokoch pripisovaných Severnej Kórei minimálne od roku 2019.
  • Škodlivé aplikácie zdieľajú techniky, taktiky a postupy (TTP) s kampaňami ScarCruft/APT37.
  • Časť kódu a infraštruktúry bola tiež prepojená s Kimsuky/APT43, čo naznačuje možnú spoluprácu alebo zdieľanie zdrojov medzi týmito dvoma skupinami.
  • Jazyk, regionálne zameranie a typ ukradnutých informácií zodpovedajú záujmom tradične spájaným so severokórejskými spravodajskými službami.

Toto prekrývanie metód a cieľov medzi severokórejskými APT skupinami niekedy znamená, že pripísanie konkrétneho útoku nie je 100 % presné, ale zdroj je bezpečnostným expertom jasný.

Zoznam najrelevantnejších infikovaných aplikácií

Ak máte otázky týkajúce sa aplikácií, ktoré ste si nainštalovali do svojho zariadenia so systémom Android, pozrite si tieto názvy, ktoré boli potvrdené v správach Lookout a o ktorých informovali médiá:

  • 휴대폰 관리자 (správca telefónu)
  • Správca súborov
  • 스마트 관리자 (inteligentný manažér)
  • Bezpečnosť Kakao
  • Softvér Update Utility

Tieto aplikácie boli distribuované v Play Store Google ako na platformách stiahnite si alternatívy, ako napríklad APKPure. Ak niektorú z nich na svojom zariadení objavíte, okamžite aplikáciu odstráňte a zmeňte všetky heslá. Spustite aj bezpečnostnú kontrolu pomocou renomovanej aplikácie.

Súvisiaci článok:
XNSPY, najlepší špionážny softvér pre váš smartphone

Aké informácie ukradol KosPy a ako to urobil?

Úroveň prístupu a objem údajov zhromaždených spoločnosťou KosPy ďaleko prevyšuje to, čo je typické pre bežný mobilný malware. Medzi získanými informáciami sú:

  • Textové správy (SMS a prípadne iné služby zasielania správ)
  • Úplné podrobnosti o záznamoch hovorov: čísla, trvanie, čas a dátum
  • Súradnice polohy mobilu v reálnom čase
  • Dokumenty, obrázky a súbory z interného úložiska
  • Zvuky zachytené mikrofónom: rozhovory, atmosféra atď.
  • Fotografie nasnímané, keď bol fotoaparát aktivovaný na pozadí
  • Snímky a nahrávky obrazovky, ktoré vám umožňujú vidieť všetko, čo si používateľ prezeral alebo napísal
  • Zneužívanie prístupových oprávnení pri zaznamenávaní klávesových skratiek
  • Informácie o sieti Wi-Fi a zoznam nainštalovaných aplikácií

Okrem toho, Všetky tieto informácie boli zašifrované a odoslané na servery velenia a riadenia (C2) cez chránené kanály., čo sťažovalo jeho detekciu pomocou tradičných antivírusových nástrojov.

Kľúčové tipy, ako sa vyhnúť pasciam ako KosPy

Odborníci a analytici, s ktorými sa konzultovalo po objavení KosPy, odporúčajú mimoriadnu opatrnosť, pretože ani inštalácia aplikácií výlučne z Obchodu Google Play nezaručuje absolútnu bezpečnosť. Tipy zahŕňajú:

  • Vždy si prečítajte recenzie a hodnotenia aplikácií a dávajte si pozor na tie, ktoré majú málo komentárov alebo negatívne hodnotenia.
  • Skontrolujte meno vývojára, vyhľadajte o ňom ďalšie informácie a zistite, či je dôveryhodným a uznávaným subjektom.
  • Venujte pozornosť počtu stiahnutí: ak je aplikácia nová alebo má veľmi nízku mieru sťahovania, buďte obzvlášť opatrní.
  • Uistite sa, že váš operačný systém a aplikácie sú vždy aktuálne, pretože väčšina bezpečnostných dier je opravená prostredníctvom oficiálnych záplat.
  • Každej aplikácii udeľte iba nevyhnutné povolenia. Ak aplikácia na správu súborov vyžaduje prístup k mikrofónu alebo kamere, je to dôvod na poplach.
  • Ak máte nainštalovanú niektorú z identifikovaných infikovaných aplikácií, okamžite ju odstráňte, zmeňte si heslá a vykonajte úplnú bezpečnostnú kontrolu.
  • Zvážte inštaláciu dôveryhodného riešenia mobilného zabezpečenia, aby ste zvýšili úroveň ochrany a mohli sa neustále monitorovať.

Globálna reakcia a súčasná situácia

Po rozsiahlom mediálnom pokrytí KosPy a vyšetrovaní vedenom spoločnosťou Lookout spoločnosť Google posilnila svoje kontroly a systém Play Protect, pričom zablokovala a odstránila všetky známe varianty tohto špionážneho softvéru. Okrem toho je medzinárodná spolupráca medzi spoločnosťami zaoberajúcimi sa kybernetickou bezpečnosťou a technologickými gigantmi kľúčová pre neutralizáciu týchto hrozieb skôr, ako sa rozšíria.

Od odstránenia KosPy sa neobjavili žiadne nové prípady hromadnej infekcie prostredníctvom Obchodu Google Play, hoci je nevyhnutné zostať ostražití, pretože útočníci neustále vyvíjajú svoje techniky.

Objav KosPy poukázal na rastúcu sofistikovanosť digitálnej špionáže v ekosystéme Androidu a dokázal, že nikto nie je imúnny voči tomu, aby sa stal obeťou. Spolupráca medzi štátnymi aktérmi a hackerskými skupinami ako ScarCruft a Kimsuky, zneužívanie oficiálnych obchodov a schopnosť maskovať sa ako zdanlivo neškodné aplikácie podčiarkujú dôležitosť zachovania proaktívneho prístupu k digitálnej ochrane.

Ako zmeniť váš Android na špionážnu kameru
Súvisiaci článok:
Ako zmeniť váš Android na špionážnu kameru

Aktívne monitorovanie, kritická analýza povolení a neustála aktualizácia sú najlepšími bariérami proti týmto hrozbám. Zdieľajte informácie, aby sa o novinkách dozvedeli aj ostatní používatelia..


Sledujte nás na Google News