圈小蛙
网络安全公司 Lookout 称,一群与朝鲜政府政权有联系的黑客将Android间谍软件上传到Google Play应用商店,并诱骗一些人下载该软件。
Lookout在周三发布的一份报告中详细介绍了一项间谍活动,该报告涉及一种名为 KoSpy 的 Android 间谍软件的几个不同样本,该公司“高度确信”该软件是朝鲜政府所为。
根据官方 Android 应用商店中该应用程序页面的缓存快照,至少有一款间谍软件应用程序曾出现在 Google Play 上,下载次数超过 10 次。Lookout 在其报告中附上了该页面的截图。
过去几年,朝鲜黑客频频登上头条新闻,尤其是他们大胆的加密货币盗窃行为,例如最近从加密货币交易所 Bybit 窃取了价值约 15 亿美元的以太坊,目的是推进该国被禁的核武器计划。然而,就这次新的间谍软件活动而言,所有迹象都表明这是一次监视行动,这是基于 Lookout 识别的间谍软件应用程序的功能。
朝鲜间谍软件活动的目标尚不清楚,但 Lookout 安全情报研究主管 Christoph Hebeisen 表示,由于下载量很少,这款间谍软件应用程序很可能针对特定人群。
据 Lookout 称,KoSpy 收集了“大量敏感信息”,包括:短信、通话记录、设备位置数据、设备上的文件和文件夹、用户输入的按键、Wi-Fi 网络详细信息以及已安装应用程序的列表。 该应用程序伪装成文件管理器,但实际上是朝鲜间谍软件。
KoSpy 还可以录制音频、用手机摄像头拍照以及截取正在使用的屏幕的屏幕截图。
Lookout 还发现,KoSpy 依赖Firestore(一个基于 Google Cloud 基础架构构建的云数据库)来检索“初始配置”。
谷歌发言人艾德·费尔南德斯 (Ed Fernandez) 透露,Lookout 与该公司分享了其报告,并且“所有被识别的应用程序都已从 Play 中移除,并且 Firebase 项目已被停用”,其中包括 Google Play 上的 KoSpy 样本。
费尔南德斯表示:“Google Play 会通过 Google Play 服务自动保护用户免受 Android 设备上已知版本的恶意软件的侵害。”
谷歌没有对有关该报告的一系列具体问题发表评论,包括谷歌是否同意将此事归咎于朝鲜政权,以及有关 Lookout 报告的其他细节。
报道还称,Lookout 在第三方应用商店 APKPure 上发现了一些间谍软件应用程序。APKPure 发言人表示,该公司没有收到 Lookout 的“任何电子邮件”。
Lookout 的 Hebeisen 和高级安全情报研究员 Alemdar Islamoglu 表示,虽然 Lookout 并不清楚哪些人可能成为攻击目标(实际上是遭到黑客攻击),但该公司确信这是一次高度针对性的攻击活动,最有可能针对的是韩国讲英语或韩语的人。
报道称,Lookout 的评估基于他们发现的应用程序名称,其中一些应用程序是韩语,有些应用程序有韩语标题,用户界面支持两种语言。
Lookout 还发现,间谍软件应用程序使用的域名和 IP 地址之前已被确定为存在于朝鲜政府背景的黑客组织 APT37 和 APT43 使用的 恶意软件和命令与控制基础设施中。
“朝鲜威胁行为者的迷人之处在于,他们似乎经常成功地将应用程序放入官方应用商店,”Hebeisen 表示。