Безопасность устройств Android снова оказалась в центре внимания после обнаружения изощренной кампании цифрового шпионажа, организованной из Северной Кореи. Главным героем этого запутанного сюжета является KosPy — шпионская программа, которая, маскируясь под легитимные приложения, сумела заразить тысячи мобильных телефонов по всему миру, собирая личные и конфиденциальные данные пользователей в разных странах. В этой обширной статье мы расскажем все, что нам известно о KosPy, от его происхождения, метода распространения и технических возможностей до мер, принимаемых для прекращения его распространения, а также дадим полезные рекомендации по защите от подобных угроз в будущем.
Если вы когда-либо загружали приложение для управления файлами или повышения безопасности вашего Android из таких магазинов, как Google Play Store или альтернативных платформ, это будет для вас очень интересно. Давайте рассмотрим, как эта шпионская программа обходила меры безопасности, какую информацию она могла собирать, почему ее считают угрозой, связанной с северокорейской разведкой, и как распознать тревожные сигналы, пока не стало слишком поздно.
Что такое KosPy и кто за ним стоит?
KosPy — шпионская программа, обнаруженная на устройствах Android и напрямую связанная с поддерживаемыми северокорейским государством группами кибершпионажа. Его существование было задокументировано командой Lookout, фирмой по кибербезопасности, специализирующейся на угрозах мобильным устройствам, которая обнаружила, что эта вредоносная программа размещалась в, казалось бы, безобидных приложениях, доступных как в Google Play Store, так и в сторонних магазинах приложений, таких как APKPure.
KosPy в первую очередь приписывается группе, известной как APT37 или ScarCruft, широко известная своими операциями по кибершпионажу, связанными с правительством Северной Кореи на протяжении более десяти лет. И не только это: Цифровая инфраструктура, используемая KosPy, имеет общие связи с другой известной группой Kimsuky (APT43), демонстрируя уровень координации и технических ресурсов, которые могут себе позволить только государственные субъекты.
Методы распространения: вот как KosPy проник в тысячи Android-устройств
Великая изобретательность (и опасность) KosPy заключается в способе его распространения: ему удалось обойти строгий контроль Google и проникнуть в систему, как будто это было настоящее приложение., проблема, которая ставит под угрозу доверие к официальным магазинам приложений.
Среди наиболее примечательных методов:
- Мошеннические приложения, замаскированные под служебные инструменты (файловые менеджеры, утилиты обновления программного обеспечения, улучшения безопасности и т. д.).
- Наличие Базовые интерфейсы и заголовки на английском и корейском языках, ориентированный на определенную аудиторию.
- Включение KosPy в такие приложения, как «Менеджер по мобильному телефону (телефонный менеджер)», «Менеджер файлов' "Умный менеджер (умный менеджер)», «Безопасность Какао (Kakao Security)» и «Утилита обновления программного обеспечения«. Все они легально одобрены в Google Play Store и даже скопированы на APKPure.
- Манипуляция платформой Firebase как инфраструктура управления и контроля (C2) и для динамической загрузки дополнительных конфигураций после установки приложения на устройство жертвы.
Разработчик этих приложений работал под псевдонимом «Разработчик утилит Android» и даже предоставил контактные адреса электронной почты, чтобы остаться незамеченным. После предупреждения исследователей Google не только удалила все зараженные приложения из своего магазина, но и отключила связанные с ними проекты Firebase, тем самым прервав канал связи между скомпрометированными устройствами и серверами киберпреступников.
Как действует KosPy после заражения устройства?
Основные опасения, связанные с KosPy, связаны с широким спектром данных, которые он может собирать, и сложностью его методов извлечения. Когда вы открываете одно из таких поддельных приложений, KosPy запускается в фоновом режиме, внедряет свой вредоносный код, чтобы оставаться незамеченным, и запрашивает повышенные права доступа.
К наиболее важным техническим возможностям шпионского ПО относятся:
- Чтение и кража СМС-сообщений.
- Получение журналы вызовов и контакты.
- GPS-мониторинг местоположения, отслеживание пользователей в режиме реального времени.
- Включен файлы и папки, хранящиеся локально на телефоне.
- Запись окружающий звук использование микрофона и фотографирование через камеру.
- Захват скриншоты и записи экрана, буквально шпионя за всем, что просматривается или делается на мобильном телефоне.
- Регистрация нажатий клавиш и использования приложений с использованием служб специальных возможностей, что может позволить перехват паролей и учетных данных.
- Получение информации о Сети WiFi, к которым подключается устройство и список установленных приложений.
Данные передаются в зашифрованном виде (с использованием предопределенного алгоритма AES) на серверы C2, контролируемые северокорейскими хакерами, что затрудняет обнаружение утечки информации с помощью обычных методов.
На кого был нацелен KosPy?
Хотя KosPy распространился по всему миру, большинство атак было направлено на корейских и англоговорящих пользователей.. Язык приложений и запрашиваемые разрешения были одними из подсказок, используемых для отсеивания потенциальных жертв, которые явно были нацелены на Южную Корею и англоязычные страны. Однако анализы также содержат подробную информацию об инфекциях в других регионах, включая Японию, Вьетнам, Россию, Непал, Китай, Индию, Кувейт, Румынию и несколько государств Ближнего Востока.
Это указывает на стратегический интерес на международном уровне, либо для доступа к соответствующей личной информации, либо для слежки за политическими, деловыми или технологическими движениями.
Эволюция кампании и реакция Google
Первое задокументированное перемещение KosPy датируется мартом 2022 года, хотя самые последние образцы были обнаружены в начале прошлого года.. По данным Google и Lookout, после подтверждения существования вредоносного ПО все связанные с ним приложения были удалены из Play Store. Кроме того, Google Play Protect в настоящее время блокирует установку известных вариантов KosPy, даже если они загружены не из официального магазина.
Тем не менее, Публичных данных о том, сколько загрузок было совершено до отзыва или сколько вариантов могло распространяться незамеченными, нет.. Поэтому рекомендуется активно следить за разрешениями приложений, а также обновлять Android и все приложения до последних версий безопасности.
Связь между KosPy, ScarCruft (APT37), Kimsuky (APT43) и северокорейской разведкой
Причастность KosPy к государственному кибершпионажу Северной Кореи подтверждается рядом технических и инфраструктурных деталей:
- Используемая инфраструктура (IP-адреса и домены для серверов C2) использовалась в предыдущих атаках, приписываемых Северной Корее, по крайней мере с 2019 года.
- Вредоносные приложения используют те же методы, тактики и процедуры (TTP), что и кампании ScarCruft/APT37.
- Часть кода и инфраструктуры также была связана с Kimsuky/APT43, что указывает на возможное сотрудничество или совместное использование ресурсов между двумя группами.
- Язык, региональная направленность и тип украденной информации соответствуют интересам, традиционно связанным с северокорейской разведкой.
Такое совпадение методов и целей северокорейских APT-групп иногда означает, что атрибуция конкретной атаки не является на 100% точной, но источник очевиден для экспертов по безопасности.
Список наиболее значимых зараженных приложений
Если у вас есть вопросы о приложениях, установленных на вашем Android, ознакомьтесь со следующими названиями, которые были подтверждены в отчетах Lookout и опубликованы в СМИ:
- 휴대폰 관리자 (менеджер по телефону)
- Менеджер файлов
- 스마트 관리자 (Умный менеджер)
- Безопасность Какао
- Утилита обновления программного обеспечения
Эти приложения были распространены как в Google Play Маркет как на платформах скачать альтернативы, такие как APKPure. Если вы обнаружите что-либо из этого на своем устройстве, немедленно удалите приложение и измените все пароли. Также запустите сканирование безопасности с помощью надежного приложения.
Какую информацию украл KosPy и как он это сделал?
Уровень доступа и объем данных, собираемых KosPy, значительно превышают типичные показатели для распространенных мобильных вредоносных программ. Среди извлеченной информации:
- Текстовые сообщения (SMS и, возможно, другие службы обмена сообщениями)
- Полная информация о журналах вызовов: номера, продолжительность, время и дата
- Координаты местоположения мобильного телефона в реальном времени
- Документы, изображения и файлы из внутреннего хранилища
- Звуки, улавливаемые микрофоном: разговоры, обстановка и т. д.
- Фотографии, сделанные при включенной камере в фоновом режиме
- Снимки экрана и записи, позволяющие увидеть все, что просматривал или печатал пользователь
- Кейлоггерство, злоупотребляющее разрешениями на доступ
- Информация о сети Wi-Fi и список установленных приложений
Кроме того, Вся эта информация отправлялась в зашифрованном виде на серверы управления и контроля (C2) по защищенным каналам., что затрудняло его обнаружение с помощью традиционных антивирусных средств.
Основные советы, как избежать ловушек вроде KosPy
Эксперты и аналитики, опрошенные после обнаружения KosPy, рекомендуют соблюдать крайнюю осторожность, поскольку даже установка приложений исключительно из Google Play Store не гарантирует абсолютной безопасности. Советы включают в себя:
- Всегда проверяйте отзывы и рейтинги приложений и будьте осторожны с теми, у кого мало комментариев или отрицательные оценки.
- Проверьте имя разработчика, найдите дополнительную информацию о нем и убедитесь, что он является надежной и признанной организацией.
- Обратите внимание на количество загрузок: если приложение новое или имеет очень низкие показатели загрузок, будьте особенно осторожны.
- Следите за тем, чтобы ваша операционная система и приложения всегда были обновлены, поскольку большинство уязвимостей безопасности устраняются с помощью официальных исправлений.
- Предоставляйте каждому приложению только необходимые разрешения. Если приложение для управления файлами запрашивает доступ к микрофону или камере, это повод для тревоги.
- Если у вас установлено какое-либо из выявленных зараженных приложений, немедленно удалите его, измените пароли и выполните полную проверку безопасности.
- Рассмотрите возможность установки надежного решения для обеспечения безопасности мобильных устройств, чтобы повысить уровень защиты и непрерывного мониторинга.
Глобальный ответ и текущая ситуация
После широкого освещения KosPy в СМИ и расследования, проведенного Lookout, Google усилила контроль и систему Play Protect, заблокировав и удалив все известные варианты этого шпионского ПО. Более того, международное сотрудничество между компаниями, занимающимися кибербезопасностью, и технологическими гигантами имеет ключевое значение для нейтрализации этих угроз до того, как они получат широкое распространение.
После удаления KosPy новых случаев массового заражения через Google Play Store не зафиксировано, хотя крайне важно сохранять бдительность, поскольку злоумышленники постоянно совершенствуют свои методы.
Обнаружение KosPy продемонстрировало растущую изощренность цифрового шпионажа в экосистеме Android, показав, что никто не застрахован от того, чтобы стать жертвой. Сотрудничество между государственными органами и хакерскими группами, такими как ScarCruft и Kimsuky, эксплуатация официальных магазинов и возможность маскироваться под, казалось бы, безобидные приложения подчеркивают важность поддержания проактивного подхода к цифровой защите.
Активный мониторинг, критический анализ разрешений и постоянное обновление являются лучшими барьерами на пути этих угроз. Поделитесь информацией, чтобы другие пользователи знали о новостях..