Η ομάδα κυβερνοκατασκοπείας APT37, γνωστή και ως ScarCruft, έχει αναπτύξει ένα νέο λογισμικό κατασκοπείας για συσκευές Android, ονόματι KoSpy, το οποίο στοχεύει χρήστες που μιλούν κορεατικά και αγγλικά. Αυτό το κακόβουλο λογισμικό διανεμήθηκε μέσω εφαρμογών που παρουσιάζονταν ως χρήσιμα εργαλεία, όπως “Διαχειριστής Αρχείων” και “Ενημέρωση Λογισμικού”, τόσο στο Google Play Store όσο και σε τρίτα καταστήματα εφαρμογών, όπως το APKPure.
Ποιος βρίσκεται πίσω από το KoSpy
Το KoSpy έχει συνδεθεί με την ομάδα APT37, η οποία έχει ιστορικό επιθέσεων κατά οργανισμών στη Νότια Κορέα, δημοσιογράφων, ακτιβιστών και κυβερνητικών φορέων. Οι ειδικοί ασφαλείας συσχετίζουν το λογισμικό με προηγούμενες επιθέσεις μέσω των ίδιων υποδομών και IP διευθύνσεων, που έχουν χρησιμοποιηθεί για τη διανομή άλλων γνωστών κακόβουλων λογισμικών όπως το Konni.
Λειτουργίες του KoSpy
Μόλις εγκατασταθεί, το KoSpy συνδέεται με μια βάση δεδομένων Firebase Firestore για να λάβει κρυπτογραφημένες ρυθμίσεις, συμπεριλαμβανομένης της διεύθυνσης του διακομιστή ελέγχου και εντολών (C2). Αυτό επιτρέπει στους επιτιθέμενους να ενεργοποιούν ή να απενεργοποιούν το λογισμικό κατασκοπείας και να αλλάζουν τον διακομιστή C2 όποτε το επιθυμούν, διατηρώντας την ευελιξία και την ανθεκτικότητα της επίθεσης.
Το KoSpy διαθέτει εκτεταμένες δυνατότητες συλλογής δεδομένων, όπως:
- Αναγνώριση και καταγραφή μηνυμάτων SMS και ιστορικού κλήσεων.
- Παρακολούθηση της τοποθεσίας του χρήστη σε πραγματικό χρόνο μέσω GPS.
- Πρόσβαση και εξαγωγή αρχείων από την τοπική αποθήκευση της συσκευής.
- Χρήση του μικροφώνου της συσκευής για ηχογραφήσεις.
- Χρήση της κάμερας για λήψη φωτογραφιών και βίντεο.
- Λήψη στιγμιότυπων οθόνης της συσκευής.
- Καταγραφή πληκτρολογήσεων μέσω των υπηρεσιών προσβασιμότητας του Android.
Όλα τα συλλεγόμενα δεδομένα κρυπτογραφούνται με ένα προκαθορισμένο κλειδί AES πριν αποσταλούν στον διακομιστή C2, διασφαλίζοντας ότι η μετάδοση παραμένει ασφαλής και δύσκολα ανιχνεύσιμη.
Τρόποι διάδοσης και στοχοποίηση
Το KoSpy διανέμεται κυρίως μέσω ψεύτικων εφαρμογών που προσποιούνται ότι είναι χρήσιμα εργαλεία, όπως διαχειριστές αρχείων και εφαρμογές ασφαλείας. Οι εφαρμογές αυτές μπορεί να προσφέρουν ορισμένες λειτουργίες, ώστε να μην εγείρουν υποψίες, αλλά εκτελούν κακόβουλες δραστηριότητες στο παρασκήνιο. Η χρήση της κορεατικής γλώσσας στις εφαρμογές υποδεικνύει ότι η εκστρατεία στοχεύει κυρίως χρήστες από τη Νότια Κορέα.
Αντιμετώπιση και προστασία
Αν και οι κακόβουλες εφαρμογές έχουν αφαιρεθεί από το Google Play και το APKPure, οι χρήστες πρέπει να τις απεγκαταστήσουν χειροκίνητα και να σαρώσουν τις συσκευές τους με εργαλεία ασφαλείας για να εξαλείψουν τυχόν υπολείμματα της μόλυνσης. Σε κρίσιμες περιπτώσεις, συνιστάται η επαναφορά εργοστασιακών ρυθμίσεων της συσκευής. Επιπλέον, η ενεργοποίηση του Google Play Protect σε ενημερωμένες συσκευές Android μπορεί να βοηθήσει στην προστασία από γνωστές κακόβουλες εφαρμογές, συμπεριλαμβανομένου του KoSpy.
Συνιστάται επίσης:
- Η λήψη εφαρμογών μόνο από αξιόπιστες πηγές.
- Η αποφυγή της παραχώρησης αχρείαστων δικαιωμάτων σε εφαρμογές.
- Η τακτική ενημέρωση του λειτουργικού συστήματος και των εφαρμογών για να διορθώνονται τυχόν ευπάθειες ασφαλείας.
Συμπέρασμα
Η εμφάνιση του KoSpy υπογραμμίζει την ανάγκη για συνεχή επαγρύπνηση και ενημέρωση σχετικά με τις απειλές ασφαλείας. Οι χρήστες πρέπει να είναι προσεκτικοί κατά την εγκατάσταση εφαρμογών, ακόμη και από επίσημα καταστήματα, και να διατηρούν τις συσκευές τους ενημερωμένες με τα τελευταία patches ασφαλείας.
Πηγές: TheHackerNews, BleepingComputer, TheRecord
