Исследователи Lookout Threat Lab обнаружили новый инструмент слежки за Android, названный KoSpy, который предназначен для корейских и англоговорящих пользователей. Это шпионское программное обеспечение, по предположению, приписывается северокорейской группировке ScarCruft (известной также как APT37).
KoSpy
KoSpy - относительно новое семейство, с ранними образцами, датированными мартом 2022 года, а последние образцы получены в марте 2024 года.
KoSpy использует поддельные приложения-приманки, такие как «Диспетчер файлов», «Утилита обновления ПО» и «Kakao Security», для заражения устройств. Оно распространяется через Google Play Store и использует Firebase Firestore для получения конфигурационных данных. В настоящее время все упомянутые приложения удалены из Google Play, а связанные с ними проекты Firebase неактивны.
KoSpy обнаруживает адрес командного и управления (C2), получая его из конфигурации, хранящейся в Firebase Firestore. Шпионское ПО отправляет запросы на загрузку плагинов и запросы на конфигурацию для функций слежения. Однако во время анализа запросы на плагины не были успешны, и ни один C2 не был активен.
KoSpy может собирать широкий спектр данных на устройствах жертв, включая SMS-сообщения, журналы звонков, местоположение, файлы, аудиозаписи и скриншоты. Приложение имеет поддержку корейского языка и распространяется через Google Play и сторонние магазины приложений.
Исследователи также отмечают, что есть свидетельства об совместном использовании инфраструктуры с другой северокорейской группировкой, APT43 (Kimsuky). Организация ScarCruft известна своими кибершпионажными операциями, главным образом направленными на Южную Корею, однако она также активна в других странах.
КоSpy - это новая угроза, которая подчеркивает постоянную активность и кибершпионажные цели северокорейских группировок. Это подчеркивает важность постоянного внимания к безопасности и необходимость использования мер предосторожности на мобильных устройствах.
Indicators of Compromise
Domains
- crowdon.info
- joinupvts.org
- resolveissue.org
- st0746.net
SHA1
- 062a869caac496d0182decfadc57a23057caa4ab
- 1a167b65be75fd0651bbda072c856628973a3c1e
- 1cc97e490b5f8a582b6b03bdba58cb5f1a389e78
- 2d1537e92878a3a14b5b3f55b32c91b099513ae0
- 3278324744e14ddf4f4312d375f82b31026f51b5
- 5639fa1fa389ed32f8a8d1ebada8bbbe03ac5171
- 744e5181e76c68b8b23a19b939942de9e1db1daa
- 911d9f05e1c57a745cb0c669f3e1b67ac4a08601
- 985fd1f74eb617b1fea17095f9e991dcaceec170
- b84604cad2f3a80fb50415aa069cce7af381e249
- cd62a9ab320b4f6be49be11c9b1d2d5519cc4860
- df39ab90c89aa77a92295721688b18e7f1fdb38d
- ea6d12e4a465a7a44cbad12659ade8a4999d64d1
- f08f036a0c79a53f6b0c9ad84fb6eac1ac79c168
