HackerNews 编译,转载请注明出处:
Lookout 研究人员发现,一款名为 KoSpy 的新型 Android 间谍软件与朝鲜威胁组织 APT37(又名 ScarCruft)有关,该组织已通过至少五个恶意应用渗透到 Google Play 和第三方应用商店 APKPure。
此次间谍软件活动主要针对韩语和英语用户,伪装成文件管理器、安全工具和软件更新程序。恶意应用包括 휴대폰 관리자(Phone Manager)、File Manager(com.file.exploer)、스마트 관리자(Smart Manager)、카카오 보안(Kakao Security)和 Software Update Utility。
这些恶意应用在设备上运行时,会在后台加载 KoSpy 间谍软件,收集短信、通话记录、实时 GPS 位置、文件、音频和视频等敏感信息,并通过加密的 Firebase Firestore 数据库传输数据。每个应用使用独立的 Firebase 项目和命令控制(C2)服务器,数据在传输前使用硬编码的 AES 密钥进行加密。
尽管这些恶意应用已被从 Google Play 和 APKPure 移除,但用户仍需手动卸载它们,并使用安全工具扫描设备以彻底清除感染痕迹。在严重情况下,建议进行工厂重置。谷歌表示,所有被识别的 KoSpy 应用已从 Google Play 移除,相关 Firebase 项目也已关闭。
消息来源:The Hacker News;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
