Исследователи из Lookout Threat Lab обнаружили новое вредоносное программное обеспечение под названием KoSpy, которое, по их данным, разработано северокорейской хакерской группировкой ScarCruft (также известной как APT37). Это шпионское ПО ориентировано на пользователей Android, особенно на тех, кто говорит на корейском или английском языках. KoSpy представляет собой серьезную угрозу для конфиденциальности, так как способен собирать широкий спектр данных с зараженных устройств, включая SMS-сообщения, историю звонков, геолокацию, файлы, аудиозаписи и даже делать скриншоты.
Описание
Первые образцы KoSpy датируются мартом 2022 года, а последние были зафиксированы в марте 2024-го. По данным экспертов, вредонос распространяется через поддельные приложения, такие как "Диспетчер файлов", "Утилита обновления ПО" и "Kakao Security". Хотя эти приложения были доступны в Google Play Store, они уже удалены, а связанные с ними облачные сервисы Firebase Firestore, использовавшиеся для управления конфигурацией, неактивны.
Особенностью KoSpy является использование Firebase Firestore для получения адреса командного сервера (C2). Однако во время исследования команда Lookout Threat Lab не обнаружила активных C2-серверов, что может говорить либо о временной приостановке кампании, либо о ее высокой избирательности. Тем не менее, сам факт использования облачных сервисов Google для координации атак свидетельствует о высоком уровне подготовки злоумышленников.
KoSpy демонстрирует сложную функциональность, включая возможность загрузки дополнительных модулей, что делает его особенно опасным. Вредонос способен адаптироваться под нужды атакующих, получая новые инструменты слежки по мере необходимости. Кроме того, исследователи обнаружили возможное пересечение инфраструктуры с другой северокорейской группировкой APT43 (Kimsuky), что указывает на координацию между разными хакерскими объединениями.
ScarCruft (APT37) известна своей активностью в сфере кибершпионажа, преимущественно направленного против Южной Кореи, но ее операции также затрагивают другие страны. Использование KoSpy подчеркивает растущую изощренность методов, применяемых северокорейскими хакерами, которые все чаще используют легитимные платформы, такие как Google Play, для распространения вредоносного ПО.
Эксперты рекомендуют пользователям Android соблюдать повышенную осторожность при установке приложений, особенно из неофициальных источников. Важно проверять репутацию разработчиков, изучать отзывы и разрешения, запрашиваемые приложением. Установка антивирусного ПО и регулярное обновление системы также могут снизить риск заражения.
Обнаружение KoSpy - очередное напоминание о том, что мобильные устройства остаются одной из главных целей киберпреступников. Северокорейские группировки продолжают совершенствовать свои инструменты, а их атаки становятся все более изощренными. В условиях растущих угроз пользователям и компаниям необходимо уделять особое внимание кибербезопасности, чтобы защитить конфиденциальные данные от утечек и несанкционированного доступа.
Индикаторы компрометации
Domains
- crowdon.info
- joinupvts.org
- resolveissue.org
- st0746.net
SHA1
- 062a869caac496d0182decfadc57a23057caa4ab
- 1a167b65be75fd0651bbda072c856628973a3c1e
- 1cc97e490b5f8a582b6b03bdba58cb5f1a389e78
- 2d1537e92878a3a14b5b3f55b32c91b099513ae0
- 3278324744e14ddf4f4312d375f82b31026f51b5
- 5639fa1fa389ed32f8a8d1ebada8bbbe03ac5171
- 744e5181e76c68b8b23a19b939942de9e1db1daa
- 911d9f05e1c57a745cb0c669f3e1b67ac4a08601
- 985fd1f74eb617b1fea17095f9e991dcaceec170
- b84604cad2f3a80fb50415aa069cce7af381e249
- cd62a9ab320b4f6be49be11c9b1d2d5519cc4860
- df39ab90c89aa77a92295721688b18e7f1fdb38d
- ea6d12e4a465a7a44cbad12659ade8a4999d64d1
- f08f036a0c79a53f6b0c9ad84fb6eac1ac79c168
