Північнокорейські хакери розмістили шпигунський софт у Google Play

Хакерське угруповання, ймовірно пов’язане з урядом КНДР, розмістило кілька шкідливих програм для Android в магазині додатків Google Play. Через це деякі користувачі встановили на свої гаджети шпигунський софт. Про це повідомляє TechCrunch з посиланням на компанію Lookout.

Як правило, кінцевою метою північнокорейських хакерів є крадіжка криптовалюти, однак у цьому випадку їхнє програмне забезпечення під назвою KoSpy було створено для збору даних. Програма-шпигун збирала великий обсяг конфіденційної інформації, в тому числі SMS-повідомлення, журнали дзвінків, дані про місцезнаходження пристрою, файли на пристрої, введені на клавіатурі символи, відомості про мережі Wi-Fi та списки встановлених програм. 

Також KoSpy може записувати звук, робити знімки за допомогою камер та скріншоти. Для отримання початкових конфігурацій використовувалася хмарна база даних Firestore в інфраструктурі Google Cloud.

Lookout повідомила про свої відкриття в Google, після чого проекти Firebase були деактивовані, всі програми з KoSpy видалені, а сімейство шкідливого софту додали в систему автоматичного виявлення. 

Деякі програми з KoSpy експерти Lookout виявили в альтернативному магазині програм APKPure, але його адміністрація цього не підтвердила. Цільовими жертвами хакерської кампанії були громадяни Південної Кореї — деякі з виявлених заражених додатків мали корейські назви, а також інтерфейс корейською та англійською мовами. У коді програм виявлено посилання на доменні імена та IP-адреси, раніше пов’язані з іншими шкідливими кампаніями, в яких звинувачували хакерів із КНДР.