В Google Play обнаружили северокорейский шпионский вирус: заражены тысячи устройств

Исследователи из Lookout выявили новый вид шпионского ПО для Android под названием KoSpy. Этот вирус, связанный с северокорейской хакерской группировкой APT37 (ScarCruft), был обнаружен в официальном магазине Google Play, а также на популярной платформе APKPure. Вредоносное ПО скрывалось в пяти легитимных на вид приложениях.

По словам специалистов, хакеры начали активное распространение KoSpy еще в марте 2022 года и продолжают совершенствовать его механизмы атаки.

Как действует шпион?

KoSpy маскируется под файловые менеджеры, инструменты безопасности и обновления для различных приложений. На момент обнаружения вредоносный код содержали как минимум пять приложений:

• 휴대폰 관리자 (Phone Manager)

• File Manager (com.file.exploer)

• 스마트 관리자 (Smart Manager)

• 카카오 보안 (Kakao Security)

• Software Update Utility

Интересно, что почти все эти приложения выполняли часть заявленных функций, чтобы не вызывать подозрений. Единственным исключением стало Kakao Security, которое показывало фальшивое системное окно, запрашивая доступ к важным разрешениям.

Как работает KoSpy?

После установки вирус автоматически загружает зашифрованный файл конфигурации из базы данных Firebase Firestore, что помогает ему избежать обнаружения антивирусами. Затем KoSpy подключается к серверу управления и проверяет, не запущен ли он в среде эмулятора.

KoSpy умеет:

• Перехватывать SMS и историю звонков

• Следить за GPS-координатами жертвы в реальном времени

• Извлекать файлы из локального хранилища

• Записывать звук через микрофон устройства

• Снимать фото и видео с камеры

• Создавать скриншоты экрана

• Фиксировать нажатия клавиш с помощью Android Accessibility Services

Каждое приложение использует отдельный сервер Firebase, на который отправляются данные в зашифрованном виде с помощью жестко закодированного ключа AES.

Кто стоит за атакой?

Эксперты Lookout связали KoSpy с APT37 (ScarCruft) на основании следующих фактов:

• Используемые IP-адреса уже фигурировали в атаках северокорейских хакеров.

• Применяемые домены ранее использовались для распространения малвари Konni.

• Хакерская инфраструктура пересекается с другой группой КНДР – APT43.

Удалены, но не уничтожены

Хотя Google уже удалила вредоносные приложения из Google Play, а APKPure также заблокировал их, угроза остается актуальной. Установленные ранее вирусные файлы не исчезнут с устройств автоматически, и пользователям необходимо вручную их удалить.

Как избавиться от KoSpy?

• Проверьте список установленных приложений и удалите подозрительные программы.

• Запустите антивирусное ПО, чтобы обнаружить остатки вируса.

• При серьезном заражении сделайте сброс до заводских настроек.

«Использование регионального языка в названиях приложений указывает на целенаправленную атаку. Последняя версия вредоносной программы, выявленная в марте 2024 года, была удалена из Google Play до того, как её успели установить пользователи», — заявили представители Google.

Источники: lookout.com, cnews.ru, habr.com, ferra.ru

Источник