Шпионское приложение КНДР проникло в Google Play — детали атаки
Поделиться
Группа киберпреступников, связанная с властями Северной Кореи, разместила шпионское приложение для Android в магазине Google Play. Они смогли обмануть определенное количество пользователей, заставив их загрузить это программное обеспечение.
Об этом рассказывает TechCrunch.
Какое приложение хакеры из Северной Кореи загрузили в Google Play
В исследовании, опубликованном в среду, 12 марта, и предоставленном TechCrunch эксклюзивно заранее, компания по кибербезопасности Lookout описывает кампанию по кибершпионажу, в которой фигурирует несколько образцов Android-вредителя, которому компания дала название KoSpy. По оценкам специалистов, с "высокой степенью уверенности" это шпионское ПО разработано северокорейскими властями.
По данным Lookout, по крайней мере одно из этих вредоносных приложений некоторое время было доступно в Google Play и, согласно сохраненным данным о странице приложения, имело более 10 загрузок. В отчете компания приводит снимок экрана страницы приложения из официального магазина Android.
В последние годы хакеры из Северной Кореи часто попадали в заголовки из-за масштабных похищений криптовалют, таких как недавнее похищение примерно 1,4 млрд долларов в Ethereum с биржи Bybit, что, по предположениям, могло быть направлено на поддержку запрещенной ядерной программы страны. Однако в данном случае, как утверждают в Lookout, речь идет о шпионской операции, что подтверждается функционалом обнаруженных вредоносных приложений.
"В архивной версии Google Play мы обнаружили приложение File Manager, которое на самом деле является северокорейским шпионским ПО", — говорится в исследовании Lookout.
Неизвестно, какую конечную цель преследовала эта кибератака, однако Кристоф Хебайзен, директор по исследованиям безопасности Lookout, в комментарии TechCrunch предположил, что небольшое количество загрузок свидетельствует о вероятной нацеленности на конкретных людей.
По данным Lookout, KoSpy собирает большое количество конфиденциальных данных, в частности:
- SMS-сообщения;
- журналы вызовов;
- информацию о геолокации;
- файлы и папки на устройстве;
- введенные пользователем нажатия клавиш;
- данные о подключенных сетях Wi-Fi;
- список установленных приложений.
Также KoSpy способен делать аудиозаписи, фотографировать с камер смартфона и делать снимки экрана.
Кроме того, Lookout обнаружила, что KoSpy для получения начальных конфигураций использовал Firestore — облачную базу данных на инфраструктуре Google Cloud.
Представитель Google Эд Фернандес подтвердил TechCrunch, что Lookout поделилась с Google своим отчетом, после чего все обнаруженные приложения были удалены из Play, а проекты в Firebase были деактивированы, включая версию KoSpy, которая была в Google Play.
Напомним, популярные расширения для браузера Chrome были взломаны хакерами. Они загрузили злонамеренные обновления, в результате чего под угрозой оказались более 3 млн пользователей.
Также мы писали, что в чипах Bluetooth, которые используют в миллиардах устройств во всем мире, нашли скрытый код. Эксперты считают, что он может использоваться злоумышленниками для проникновения в эти устройства.
Читайте Новини.LIVE!
