Група хакерів, пов’язана з режимом Північної Кореї, завантажила шпигунське програмне забезпечення для Android у магазин Google Play. Хакери змогли обманом змусити деяких користувачів завантажити його, пише TechCrunch.
Компанія з кібербезпеки Lookout опублікувала звіт, в якому детально описала кампанію, що використовувала шпигунське ПЗ для Android, яке отримало назву KoSpy. Lookout з впевненістю приписує цю операцію уряду Північної Кореї.
Один з цих додатків був доступний в Google Play і завантажений понад 10 разів. KoSpy збирає багато чутливої інформації, зокрема SMS-повідомлення, журнали дзвінків, файли на пристрої, паролі та дані Wi-Fi мережі. Крім того, ПЗ може записувати аудіо, робити фотографії та скриншот екрана.
Lookout повідомляє, що KoSpy використовує Firestore для завантаження налаштувань з хмарної бази даних на інфраструктурі Google Cloud. Пізніше Google видалила всі виявлені додатки з магазину та деактивувала проєкти Firebase, включаючи KoSpy. Представник Google зазначив, що Google Play автоматично захищає користувачів від відомих версій цього шкідливого ПЗ.
Lookout також виявила шпигунські додатки в сторонньому магазині APKPure, хоча представники APKPure заявили, що не отримували повідомлень від Lookout. За словами Lookout, кампанія була спрямована на конкретних осіб, ймовірно, на жителів Південної Кореї, які говорять англійською або корейською.
Аналіз Lookout виявив, що деякі додатки використовують доменні імена та IP-адреси, раніше пов’язані з інфраструктурою хакерських груп APT37 та APT43, які мають зв’язки з урядом Північної Кореї.