В Google Play обнаружили северокорейский шпионский вирус: заражены тысячи устройств
Исследователи из Lookout выявили новый вид шпионского ПО для Android под названием KoSpy. Этот вирус, связанный с северокорейской хакерской группировкой APT37 (ScarCruft), был обнаружен в официальном магазине Google Play, а также на популярной платформе APKPure. Вредоносное ПО скрывалось в пяти легитимных на вид приложениях.
По словам специалистов, хакеры начали активное распространение KoSpy еще в марте 2022 года и продолжают совершенствовать его механизмы атаки.
Как действует шпион?
KoSpy маскируется под файловые менеджеры, инструменты безопасности и обновления для различных приложений. На момент обнаружения вредоносный код содержали как минимум пять приложений:
-
휴대폰 관리자 (Phone Manager)
-
File Manager (com.file.exploer)
-
스마트 관리자 (Smart Manager)
-
카카오 보안 (Kakao Security)
-
Software Update Utility
Интересно, что почти все эти приложения выполняли часть заявленных функций, чтобы не вызывать подозрений. Единственным исключением стало Kakao Security, которое показывало фальшивое системное окно, запрашивая доступ к важным разрешениям.
Как работает KoSpy?
После установки вирус автоматически загружает зашифрованный файл конфигурации из базы данных Firebase Firestore, что помогает ему избежать обнаружения антивирусами. Затем KoSpy подключается к серверу управления и проверяет, не запущен ли он в среде эмулятора.
KoSpy умеет:
-
Перехватывать SMS и историю звонков
-
Следить за GPS-координатами жертвы в реальном времени
-
Извлекать файлы из локального хранилища
-
Записывать звук через микрофон устройства
-
Снимать фото и видео с камеры
-
Создавать скриншоты экрана
-
Фиксировать нажатия клавиш с помощью Android Accessibility Services
Каждое приложение использует отдельный сервер Firebase, на который отправляются данные в зашифрованном виде с помощью жестко закодированного ключа AES.
Кто стоит за атакой?
Эксперты Lookout связали KoSpy с APT37 (ScarCruft) на основании следующих фактов:
-
Используемые IP-адреса уже фигурировали в атаках северокорейских хакеров.
-
Применяемые домены ранее использовались для распространения малвари Konni.
-
Хакерская инфраструктура пересекается с другой группой КНДР – APT43.
Удалены, но не уничтожены
Хотя Google уже удалила вредоносные приложения из Google Play, а APKPure также заблокировал их, угроза остается актуальной. Установленные ранее вирусные файлы не исчезнут с устройств автоматически, и пользователям необходимо вручную их удалить.
Как избавиться от KoSpy?
-
Проверьте список установленных приложений и удалите подозрительные программы.
-
Запустите антивирусное ПО, чтобы обнаружить остатки вируса.
-
При серьезном заражении сделайте сброс до заводских настроек.
«Использование регионального языка в названиях приложений указывает на целенаправленную атаку. Последняя версия вредоносной программы, выявленная в марте 2024 года, была удалена из Google Play до того, как её успели установить пользователи», — заявили представители Google.
Источники: lookout.com, cnews.ru, habr.com, ferra.ru
