Ru
Головна Технології Шпигунський додаток КНДР проник у Google Play — деталі атаки

Шпигунський додаток КНДР проник у Google Play — деталі атаки

12 березня 2025 15:02
Вивіска з логотипом операційної системи Android. Фото: Joan Cros/NurPhoto
Артур Волков
Редактор

Група кіберзлочинців, пов'язана з владою Північної Кореї, розмістила шпигунський додаток для Android у магазині Google Play. Вони змогли обдурити певну кількість користувачів, змусивши їх завантажити це програмне забезпечення.

Про це розповідає TechCrunch.

Який додаток хакери з Північної Кореї завантажили в Google Play

У дослідженні, опублікованому в середу, 12 березня, та наданому TechCrunch ексклюзивно заздалегідь, компанія з кібербезпеки Lookout описує кампанію з кібершпигунства, в якій фігурує кілька зразків Android-шкідника, якому компанія дала назву KoSpy. За оцінками фахівців, із "високим ступенем впевненості" це шпигунське ПЗ розробила північнокорейська влада.

За даними Lookout, принаймні один із цих шкідливих застосунків певний час був доступний у Google Play і, згідно зі збереженими даними про сторінку додатка, мав понад 10 завантажень. У звіті компанія наводить знімок екрана сторінки застосунку з офіційного магазину Android.

Зловмисний додаток в Google Play від кіберзлочинців з Північної Кореї. Фото: Lookout

В останні роки хакери з Північної Кореї часто потрапляли в заголовки через масштабні викрадення криптовалют, такі як нещодавнє викрадення приблизно 1,4 млрд доларів в Ethereum з біржі Bybit, що, за припущеннями, могло бути спрямоване на підтримку забороненої ядерної програми країни. Проте в цьому випадку, як стверджують у Lookout, йдеться про шпигунську операцію, що підтверджується функціоналом виявлених шкідливих застосунків.

"В архівній версії Google Play ми виявили застосунок File Manager, який насправді є північнокорейським шпигунським ПЗ", — йдеться у дослідженні Lookout.

Невідомо, яку кінцеву мету переслідувала ця кібератака, проте Крістоф Хебайзен, директор із досліджень безпеки Lookout, у коментарі TechCrunch припустив, що невелика кількість завантажень свідчить про ймовірну націленість на конкретних людей.

За даними Lookout, KoSpy збирає велику кількість конфіденційних даних, зокрема:

  • SMS-повідомлення;
  • журнали викликів;
  • інформацію про геолокацію;
  • файли та теки на пристрої;
  • введені користувачем натискання клавіш;
  • дані про підключені мережі Wi-Fi;
  • список встановлених додатків.

Також KoSpy здатний робити аудіозаписи, фотографувати з камер смартфона і робити знімки екрана.

Крім того, Lookout виявила, що KoSpy для отримання початкових конфігурацій використовував Firestore — хмарну базу даних на інфраструктурі Google Cloud.

Представник Google Ед Фернандес підтвердив TechCrunch, що Lookout поділилася з Google своїм звітом, після чого всі виявлені застосунки було видалено з Play, а проєкти у Firebase було деактивовано, включно з версією KoSpy, яка була в Google Play.

Нагадаємо, популярні розширення для браузера Chrome були зламані хакерами. Вони завантажили зловмисні оновлення, внаслідок чого під загрозою опинилися понад 3 млн користувачів.

Також ми писали, що в чипах Bluetooth, які використовують у мільярдах пристроїв у всьому світі, знайшли прихований код. Експерти вважають, що він може використовуватися зловмисниками для проникнення в ці пристрої.