Μια ομάδα χάκερς με διασυνδέσεις στο καθεστώς της Βόρειας Κορέας ανέβασε λογισμικό κατασκοπείας Android στο Google Play και κατάφερε να ξεγελάσει ορισμένους ανθρώπους ώστε να το κατεβάσουν, σύμφωνα με την εταιρεία κυβερνοασφάλειας Lookout.
Όπως αναφέρει το TechCrunch, σε μια έκθεση που δημοσιεύθηκε την Τετάρτη (12/03), η Lookout περιγράφει λεπτομερώς μια εκστρατεία κατασκοπείας που περιλάμβανε πολλά διαφορετικά δείγματα ενός spyware Android που ονομάζει KoSpy, το οποίο η εταιρεία αποδίδει στην κυβέρνηση της Βόρειας Κορέας.
Τουλάχιστον μία από τις εφαρμογές spyware βρισκόταν κάποια στιγμή στο Google Play και σημειώνεται ότι κατεβάσθηκε περισσότερες από 10 φορές.
Τα τελευταία χρόνια, οι Βορειοκορεάτες χάκερς έχουν απασχολήσει τα διεθνή ΜΜΕ, κυρίως για τις κλοπές κρυπτογράφησης, όπως η πρόσφατη κλοπή περίπου 1,4 δισεκατομμυρίων δολαρίων σε Ethereum από το ανταλλακτήριο κρυπτογράφησης Bybit, με στόχο την προώθηση του απαγορευμένου προγράμματος πυρηνικών όπλων της χώρας.
Στην περίπτωση αυτής της νέας εκστρατείας spyware, ωστόσο, όλα δείχνουν ότι πρόκειται για μια επιχείρηση παρακολούθησης, με βάση τη λειτουργικότητα των εφαρμογών της που εντοπίστηκαν από την Lookout.
Οι στόχοι της spyware δεν είναι γνωστοί, αλλά ο Κριστόφ Χέμπεϊσεν, διευθυντής έρευνας πληροφοριών ασφαλείας της Lookout, δήλωσε στο TechCrunch ότι η εφαρμογή spyware πιθανότατα στόχευε συγκεκριμένα άτομα.
Σύμφωνα με την Lookout, το KoSpy συλλέγει «ένα εκτεταμένο ποσό ευαίσθητων πληροφοριών», μεταξύ των οποίων: SMS, αρχεία καταγραφής κλήσεων, δεδομένα τοποθεσίας της συσκευής, αρχεία και φακέλους, πληκτρολογήσεις που εισάγει ο χρήστης, λεπτομέρειες δικτύου Wi-Fi και μια λίστα εγκατεστημένων εφαρμογών.
Το KoSpy μπορεί επίσης να καταγράφει ήχο, να τραβάει φωτογραφίες με τις κάμερες του κινητού και να καταγράφει στιγμιότυπα οθόνης κατά τη χρήση.
Ακόμη διαπιστώθηκε ότι το KoSpy βασίστηκε στο Firestore, μια βάση δεδομένων cloud, η οποία και αυτή βασίζεται στην υποδομή του Google Cloud για την ανάκτηση «αρχικών ρυθμίσεων».
Ο εκπρόσωπος της Google, Εντ Φερνάντεζ, δήλωσε ότι η Lookout μοιράστηκε την έκθεσή της με την εταιρεία και «όλες οι εφαρμογές που εντοπίστηκαν αφαιρέθηκαν από το Google Play και τα έργα Firebase απενεργοποιήθηκαν», συμπεριλαμβανομένου του δείγματος KoSpy που βρισκόταν εκεί.
«Το Google Play προστατεύει αυτόματα τους χρήστες από γνωστές εκδόσεις αυτού του κακόβουλου λογισμικού σε συσκευές Android», δήλωσε ο Φερνάντεζ.
Ωστόσο, η Google δεν σχολίασε μια σειρά ερωτήσεων σχετικά με την έκθεση, συμπεριλαμβανομένου του αν η εταιρεία συμφωνεί με την απόδοση ευθυνών στο καθεστώς της Βόρειας Κορέας.
Στην έκθεση αναφέρεται επίσης ότι η Lookout βρήκε ορισμένες από τις εφαρμογές spyware στο κατάστημα εφαρμογών τρίτων APKPure. Ένας εκπρόσωπος του APKPure δήλωσε ότι η εταιρεία δεν έλαβε «κανένα μήνυμα ηλεκτρονικού ταχυδρομείου» από το Lookout.
Ο Χέμπεϊσεν της Lookout, μαζί με τον Αλεμντάρ Ισλάμογλου, έναν ανώτερο ερευνητή πληροφοριών ασφαλείας του προσωπικού, δήλωσαν στο TechCrunch ότι ενώ η Lookout δεν έχει καμία πληροφορία σχετικά με το ποιος μπορεί να έχει στοχοποιηθεί - χακαριστεί, η εταιρεία είναι βέβαιη ότι πρόκειται για μια εξαιρετικά στοχευμένη εκστρατεία, που πιθανότατα στόχευε ανθρώπους στη Νότια Κορέα, οι οποίοι μιλούν αγγλικά ή κορεάτικα.
Η εκτίμηση της Lookout βασίζεται στα ονόματα των εφαρμογών που βρήκε, ορισμένες από τις οποίες είναι στα κορεατικά, και στο γεγονός ότι κάποιες από αυτές έχουν τίτλους σε κορεατική γλώσσα, σύμφωνα με την έκθεση.
Η Lookout αναφέρει επίσης ότι οι εφαρμογές spyware χρησιμοποιούν διευθύνσεις IP που είχαν προηγουμένως εντοπιστεί σε κακόβουλο λογισμικό και υποδομές διοίκησης και ελέγχου που χρησιμοποιούν οι κυβερνητικές ομάδες hacking της Βόρειας Κορέας APT37 και APT43.
«Αυτό που είναι συναρπαστικό σχετικά με τους βορειοκορεατικούς φορείς απειλών είναι ότι, όπως φαίνεται, είναι κάπως συχνά επιτυχημένοι στο να εισάγουν εφαρμογές σε επίσημα καταστήματα εφαρμογών», δήλωσε ο Χέμπεϊσεν.
