Cybersecurity -Forscher von Lookout haben Kospy entdeckt, eine anspruchsvolle Android -Spyware, die mit Nordkorea verbunden ist, die es geschafft hat, den Google Play Store zu infiltrieren. Die Malware wird Scarcrupt (APT37), einer nordkoreanischen Hacking -Gruppe, zugeschrieben und sich als legitime Apps verkleidet. Es zielt auf koreanische und englischsprachige Benutzer ab und kann sensible Daten stehlen, während sie monatelang unentdeckt bleiben.
Wie Kospy Geräte infiziert
Nach Angaben der Forscher verkleidet sich Kospy als legitime Versorgungs -App auf einem Telefon. Lookout hat festgestellt, dass sich mindestens fünf Variationen des Malware als 휴대폰 관리자 (Telefonmanager), Dateimanager, 스마트 관리자 (Smart Manager), 카카오 보안 (Kakao Security) und Software -Update -Dienstprogramm verklemmt.
Angesichts seiner legitim klingenden Namen kann es Benutzer dazu bringen, sie zu installieren. Nach der Installation wartet es auf die Aktivierung. Im Gegensatz zu typischer Malware beginnt Kospy seine Spionageaktivitäten nicht sofort. Das wäre zu misstrauisch. Stattdessen stellten die Forscher fest, dass sich die Kospy Spyware auf legitime Plattformen stützte, um aktualisierte Befehls- und Steuerungsadressen (C2) abzurufen.
Dies ermöglicht es den Angreifern aus Nordkorea, die Spyware die Spyware über Google Play und Firebase Firestore, einen Google Cloud -Dienst, zu aktivieren, zu ändern und zu ändern, ohne die Benutzerinteraktion zu erfordern, wodurch die Erkennung viel schwieriger wird.
Was Kospy kann
Sobald Kospy aktiv ist, kann sie SMS -Nachrichten stehlen und Protokolle aufrufen. Es kann den GPS -Speicherort in Echtzeit verfolgen, Dateien zugreifen und ändern, Audio aufzeichnen, Fotos aufnehmen und Tastenanschläge und Screenshots erfassen.
Die Spyware verschlüsselt Daten mithilfe der AES -Verschlüsselung, bevor sie sie an C2 -Server zurücksenden, wodurch das Abfangen schwieriger wird. Darüber hinaus können Angreifer neue Plugins aus der Ferne installieren und die Spionagefunktionen der Malware erweitern, ohne das Gerät neu zu befektionieren.
Kospy ist gefährlich, weil sein C2 -System fortgeschrittener ist als typische Malware. Anstatt die C2 -Adresse in die Malware selbst zu färben, die andere Malware normalerweise tut, ruft sie die neueste C2 -Adresse von Firebase Firestore ab. Es verwendet Firebase als Relais und verhindert, dass Sicherheitsinstrumente sofort böswilligen Verkehr erkennen, zumal Google Firestore besitzt, was Anfragen dafür wie legitimer Verkehr aussehen.
Angreifer können auch die Spyware aus der Ferne herunterfahren oder reaktivieren und C2 -Adressen ändern, wenn einer blockiert ist. Dies macht Kospy schwerer zu stören als traditionelle Spyware. Google hat diese böswilligen Apps bereits entfernt, wirft jedoch Bedenken hinsichtlich der Sicherheit offizieller App -Stores auf. Versuchen Sie wie immer, Apps aus ordnungsgemäßen und vertrauenswürdigen App -Stores nach Möglichkeit herunterzuladen. Überprüfen Sie auch die Bewertungen und stellen Sie sicher, dass Ihr Telefon über die neuesten Sicherheitsupdates installiert ist.
