据网络安全公司 Lookout 称,一群与朝鲜政权有联系的黑客将 Android 间谍软件上传到 Google Play 应用商店,并诱使一些人下载。在周三发布的一份报告中,Lookout 详细描述了一场间谍活动,该活动涉及多个不同的Android 间谍软件样本,Lookout 将其称为 KoSpy,并"高度确信"该间谍软件是朝鲜政府所为。
根据官方 Android 应用商店中该应用页面的缓存快照显示,至少有一款间谍软件应用曾在 Google Play 上出现过,并且下载次数超过 10 次。 Lookout 在其报告中附上了该页面的截图。
在过去几年中,朝鲜黑客因其大胆的加密货币抢劫而成为头条新闻的焦点,例如最近从加密货币交易所 Bybit 盗取了约 14 亿美元的以太坊。 然而,在这次新的间谍软件活动中,所有迹象都表明,根据 Lookout 所识别的间谍软件应用程序的功能,这是一次监视行动。
据 Lookout 报道,一款应用程序的 Google Play 商店页面存档版本截图,该应用程序假装是文件管理器,但实际上是朝鲜间谍软件。 (图片:Lookout)
朝鲜间谍软件活动的目标尚不清楚,但 Lookout 的安全情报研究主管克里斯托夫-赫贝森(Christoph Hebeisen)告诉 TechCrunch,由于只有少量下载,间谍软件应用程序很可能是针对特定人群的。
根据 Lookout 的说法,KoSpy 会收集"大量敏感信息",包括 短信、通话记录、设备位置数据、设备上的文件和文件夹、用户输入的按键、Wi-Fi 网络详情以及已安装应用程序的列表。
KoSpy还能录音、用手机摄像头拍照和截取使用中的屏幕截图。
Lookout 还发现 KoSpy 依赖于Firestore,这是一个建立在Google云基础架构上的云数据库,用于检索"初始配置"。
Google发言人埃德-费尔南德斯(Ed Fernandez)表示mLookout 与该公司分享了其报告,"所有已确认的应用程序都已从 Play 中删除,Firebase 项目也已停用",其中包括 Google Play 上的 KoSpy 样本。Google Play会自动保护用户的Android设备免受已知版本恶意软件的攻击。"
Google没有对有关该报告的一系列具体问题发表评论,包括Google是否同意将其归因于朝鲜政权,以及有关Lookout报告的其他细节。
报告还称,Lookout 在第三方应用程序商店 APKPure 中发现了一些间谍软件应用程序。 APKPure 发言人说,该公司没有收到 Lookout 的"任何电子邮件"。
Lookout 的 Hebeisen 和资深安全情报研究人员 Alemdar Islamoglu 表示,虽然 Lookout 没有任何关于具体是谁可能成为目标--被黑客攻击--的信息,但该公司确信这是一次高度有针对性的活动,目标很可能是在韩国讲英语或朝鲜语的人。
报告称,Lookout 的评估基于他们发现的应用程序名称,其中一些是韩文,而且一些应用程序的标题是韩文,用户界面支持两种语言。
Lookout 还发现,这些间谍软件应用程序使用的域名和 IP 地址之前已被确认存在于朝鲜政府黑客组织 APT37 和 APT43 使用的恶意软件和命令和控制基础设施中。
Hebeisen说:"朝鲜威胁行为者的特别之处在于,他们似乎经常成功地将应用引入官方应用商店。"
