A Lookout kiberbiztonsági vállalat szerdai jelentése szerint észak-koreai kormányzathoz köthető hackereknek sikerült egy kémszoftvert csempészniük a minden Android alapú okostelefonon elérhető Google Play Áruházba – erről közölt cikket a Portfolio.
Csatlakozz a Telegram-csatornánkhoz!
E szerint a vállalat információi alapján a Techrunch arról számolt be, hogy a kártékony programot több mint tízszer töltötték le a Play Áruházból, mielőtt azt eltávolították volna a kínálatból, így több felhasználó készülékét is megfertőzhették vele.
A cég nagy bizonyossággal állítja, hogy a program az észak-koreai kormányhoz köthető. A Lookout szerint a KoSpy jelentős mennyiségű érzékeny információt gyűjt be az azzal megfertőződött eszközökről. Hozzáférhet többek között SMS-üzenetekhez és a hívásnaplókhoz, helyadatokhoz, fájlokhoz, a felhasználók által begépelt szövegekhez, illetve akár Wi-Fi hálózati adatokhoz is.
Emellett a kártékony alkalmazás képes hangfelvételeket készíteni, fényképezni és képernyőképeket is rögzíteni az érintett eszközön.
A Google szóvivője, Ed Fernandez megerősítette, hogy az azonosított alkalmazásokat eltávolították a Play áruházból, és a kapcsolódó Firebase projekteket is deaktiválták, ami lényeglében a Google alkalmazások egyik legelterjedtebb fejlesztői felületének számít. A vállalat közlése szerint a Google Play automatikusan védi a felhasználókat a kártevő ismert változataitól az Android eszközökön.
A Lookout szakértői szerint bár nem tudják pontosan, kiket célozhattak meg a támadók, de meggyőződésük, hogy ez egy rendkívül célzott kampány volt, amely valószínűleg dél-koreai, angol vagy koreai nyelvet beszélő személyek ellen irányult. Ezt az alkalmazások elnevezései és a felhasználói felület kétnyelvűsége is alátámasztja.
A kutatók azt is megállapították, hogy a kémszoftverek olyan domain neveket és IP-címeket használtak, amelyeket korábban már azonosítottak az észak-koreai kormányzati hackercsoport, az APT37 és APT43 által használt malware-ekben. A Portfolio emlékeztetett arra, hogy Észak-Koreához köthető hackerek nemrég azzal kerültek be a hírekbe, hogy a Bybit kriptotőzsde egyik tárcáját feltörve nagyjából 1,4 milliárd dollár értékű Ethereumot tulajdonítottak el, amely jelentős eséseket okozott a kriptovaluták piacán.
Lehet, hogy az észak-koreai kutatók mégsem abakuszokkal dolgoznak?!
