KosPy: Viss par Ziemeļkorejas spiegprogrammatūru, kas uzbruka Android ierīcēm visā pasaulē

  • KosPy ir uzlabota spiegprogrammatūra, kas tiek izplatīta, izmantojot krāpnieciskas lietotnes Google Play veikalā un alternatīvos veikalos.
  • Ļaunprogrammatūra bija saistīta ar Ziemeļkorejas valsts pārvaldītām kiberizlūkošanas grupām, piemēram, APT37 (ScarCruft) un APT43 (Kimsuky).
  • Tas izvilka personas datus, ziņojumus, zvanus un atrašanās vietas datus, kā arī kontrolēja svarīgas tālruņa funkcijas un tika likvidēts pēc Lookout ekspertu brīdinājuma.
Joaquin Romero

9 Minutos

Uzziniet visu par KosPy, Ziemeļkorejas spiegprogrammatūru.

Pēc tam, kad tika atklāta sarežģīta digitālās spiegošanas kampaņa, kas tika organizēta no Ziemeļkorejas, Android ierīču drošība atkal ir uzmanības centrā. Šī sarežģītā sižeta galvenais varonis ir KosPy — spiegprogrammatūra, kas, maskēta kā likumīgas lietojumprogrammas, ir spējusi inficēt tūkstošiem mobilo tālruņu visā pasaulē, vācot personiskus un konfidenciālus datus no lietotājiem dažādās valstīs. Šajā plašajā rakstā mēs apkoposim visu, ko zinām par KosPy, sākot no tā izcelsmes, izplatīšanas metodes un tehniskajām iespējām līdz pasākumiem, kas veikti, lai apturētu tā izplatību, kā arī sniegsim noderīgus ieteikumus, kā pasargāt sevi no līdzīgiem draudiem nākotnē.

Ja kādreiz esat lejupielādējis lietotni failu pārvaldībai vai Android ierīces drošības uzlabošanai no veikaliem, piemēram, Google Play veikala vai alternatīvām platformām, tas jūs ļoti interesē. Apskatīsim, kā šī spiegprogrammatūra izvairījās no drošības kontroles, kāda veida informāciju tā spēja apkopot, kāpēc tā tiek uzskatīta par draudu, kas saistīts ar Ziemeļkorejas izlūkdienestiem, un kā pamanīt brīdinājuma zīmes, pirms nav par vēlu.

Kas ir KosPy un kas aiz tā stāv?

KosPy ir spiegprogrammatūra, kas atklāta Android ierīcēs un ir tieši saistīta ar Ziemeļkorejas valsts atbalstītām kiberizlūkošanas grupām. Tās esamību dokumentēja Lookout komanda, kiberdrošības firma, kas specializējas mobilo ierīču draudu jomā, kas atklāja, ka šī ļaunprogrammatūra atrodas šķietami nekaitīgās lietotnēs, kas pieejamas gan Google Play veikalā, gan trešo pušu lietotņu veikalos, piemēram, APKPure.

Kā nosūtīt tiešraides fotoattēlus vietnē WhatsApp
saistīto rakstu:
WhatsApp brīdina par spiegprogrammatūru, kas apdraud mobilo ierīču drošību

KosPy galvenokārt tiek attiecināts uz grupu, kas pazīstama kā APT37 vai ScarCruft, kas ir plaši pazīstama ar vairāk nekā desmit gadus ilgajām kiberizlūkošanas operācijām, kas saistītas ar Ziemeļkorejas valdību. Ne tikai tas: KosPy izmantotā digitālā infrastruktūra ir savienota ar citu slavenu grupu Kimsuky (APT43)., demonstrējot tādu koordinācijas līmeni un tehniskos resursus, ko var atļauties tikai valsts dalībnieki.

Uzmanieties no KosPy, Ziemeļkorejas izstrādātās spiegprogrammatūras

Izplatīšanas metodes: Lūk, kā KosPy iefiltrējās tūkstošiem androīdu

KosPy lielā atjautība (un bīstamība) slēpjas tā izplatīšanās veidā, jo tam izdevās pārvarēt stingro Google kontroli un ielavīties tā, it kā tā būtu īsta lietotne., problēma, kas apdraud uzticību oficiālajiem lietotņu veikaliem.

Starp ievērojamākajām tehnikām:

  • Krāpnieciskas lietojumprogrammas, kas maskētas kā utilītu rīki (failu pārvaldnieki, programmatūras atjaunināšanas utilītas, drošības uzlabojumi utt.).
  • Klātbūtne Pamata saskarnes un nosaukumi angļu un korejiešu valodā, kas ir paredzēta konkrētai auditorijai.
  • KosPy iekļaušana tādās lietotnēs kā «Mobilo telefonu menedžeris (tālruņa pārvaldnieks)», «failu pārvaldnieks","Viedais pārvaldnieks (gudrais vadītājs)», «Kakao drošība (Kakao Security)» un «Programmatūras atjaunināšanas utilīta«. Visi no tiem ir likumīgi apstiprināti Google Play veikalā un pat replicēti APKPure.
  • Platformas manipulācija Firebase kā vadības un kontroles infrastruktūra (C2) un dinamiski lejupielādēt papildu konfigurācijas, tiklīdz lietotne ir instalēta upura ierīcē.

Šo lietotņu izstrādātājs darbojās ar pseidonīmu "Android Utility Developer", pat norādot kontaktpersonu e-pasta adreses, lai paliktu nepamanīts. Pēc pētnieku brīdinājuma Google ne tikai noņēma visas inficētās lietotnes no sava veikala, bet arī atspējoja saistītos Firebase projektus, tādējādi pārtraucot saziņas kanālu starp apdraudētajām ierīcēm un kibernoziedznieku serveriem.

Kā KosPy rīkojas pēc ierīces inficēšanas?

Galvenās bažas par KosPy ir plašais datu klāsts, ko tas var apkopot, un tā ieguves metožu sarežģītība. Atverot kādu no šīm viltotajām lietotnēm, KosPy tiek palaista fonā, ieguldot tajā ļaunprātīgo kodu, lai paliktu neatklāts, un pieprasot paaugstinātas piekļuves atļaujas.

Starp svarīgākajām spiegprogrammatūras tehniskajām iespējām ir:

  • SMS ziņojumu lasīšana un eksfiltrācija.
  • iegūšana zvanu žurnāli un kontakti.
  • GPS atrašanās vietas uzraudzība, lietotāju izsekošana reāllaikā.
  • Piekļuve faili un mapes, kas lokāli saglabāti tālrunī.
  • Ierakstīšana apkārtējā skaņa izmantojot mikrofonu un uzņemot fotoattēlus caur kameru.
  • Tveršana ekrānuzņēmumi un ekrāna ieraksti, burtiski izspiegojot visu, kas tiek skatīts vai darīts mobilajā tālrunī.
  • Taustiņu nospiešanas un lietotņu lietošanas reģistrēšana, izmantojot pieejamības pakalpojumus, kas var ļaut pārtvert paroles un akreditācijas datus.
  • Informācijas iegūšana par Wi-Fi tīkli, ar kuriem ierīce izveido savienojumu un instalēto programmu saraksts.

Dati tiek šifrēti (izmantojot iepriekš definētu AES algoritmu) pārsūtīti uz Ziemeļkorejas hakeru kontrolētiem C2 serveriem, apgrūtinot parastajai atklāšanai informācijas noplūdes identificēšanu.

Uz ko KosPy bija vērsies?

Lai gan KosPy ir izplatījies visā pasaulē, lielākā daļa uzbrukumu bija vērsti pret korejiešu un angļu valodā runājošiem lietotājiem.. Lietotņu valoda un pieprasītās atļaujas bija viena no norādēm, ko izmantoja, lai atsijātu potenciālos upurus, kuri nepārprotami bija vērsušies pret Dienvidkoreju un angliski runājošām valstīm. Tomēr analīzēs ir sīki aprakstīti arī inficēšanās gadījumi citos reģionos, tostarp Japānā, Vjetnamā, Krievijā, Nepālā, Ķīnā, Indijā, Kuveitā, Rumānijā un vairākās Tuvo Austrumu valstīs.

Tas norāda uz stratēģiskas intereses starptautiskā līmenī, vai nu lai piekļūtu attiecīgajai personiskajai informācijai, vai lai izspiegotu politiskas, biznesa vai tehnoloģiskas kustības.

Izmantojiet Airtag, lai izspiegotu Android mobilo tālruni
saistīto rakstu:
Izmantojiet Airtag, lai izspiegotu Android mobilo tālruni

Kampaņas attīstība un Google reakcija

Pirmā dokumentētā KosPy pārvietošanās datēta ar 2022. gada martu, lai gan jaunākie paraugi tika izsekoti līdz pagājušā gada sākumam.. Saskaņā ar Google un Lookout sniegto informāciju, tiklīdz ļaunprogrammatūras esamība tika apstiprināta, visas saistītās lietotnes tika noņemtas no Play veikala. Turklāt Google Play Protect pašlaik bloķē zināmu KosPy variantu instalēšanu, pat ja tie ir lejupielādēti ārpus oficiālā veikala.

Tomēr, Nav publiski pieejamu datu par to, cik lejupielāžu notika pirms izstāšanās vai cik variantu varētu būt izplatījušies nemanīti.. Tāpēc ieteicams aktīvi uzraudzīt lietotņu atļaujas, kā arī atjaunināt Android un visas lietotnes ar jaunākajām drošības versijām.

Saistība starp KosPy, ScarCruft (APT37), Kimsuky (APT43) un Ziemeļkorejas izlūkdienestiem

KosPy saistību ar Ziemeļkorejas valsts kiberspiegošanu apstiprina vairākas tehniskas un infrastruktūras detaļas:

  • Izmantotā infrastruktūra (IP adreses un domēni C2 serveriem) ir izmantota iepriekšējos uzbrukumos, kas tiek piedēvēti Ziemeļkorejai, vismaz kopš 2019. gada.
  • Ļaunprātīgas lietojumprogrammas koplieto metodes, taktiku un procedūras (TTP) ar ScarCruft/APT37 kampaņām.
  • Daļa koda un infrastruktūras ir saistīta arī ar Kimsuky/APT43, kas norāda uz iespējamu sadarbību vai resursu koplietošanu starp abām grupām.
  • Valoda, reģionālā uzmanība un nozagtās informācijas veids atbilst interesēm, kas tradicionāli tiek saistītas ar Ziemeļkorejas izlūkdienestu.

Šī Ziemeļkorejas APT grupu metožu un mērķu pārklāšanās dažkārt nozīmē, ka konkrēta uzbrukuma piedēvēšana nav 100% precīza, taču drošības ekspertiem avots ir skaidrs.

Visatbilstošāko inficēto lietojumprogrammu saraksts

Ja jums ir jautājumi par lietotnēm, ko esat instalējis savā Android ierīcē, skatiet šos nosaukumus, kas ir apstiprināti Lookout ziņojumos un ziņoti plašsaziņas līdzekļos:

  • 휴대폰 관리자 (tālruņa pārvaldnieks)
  • failu pārvaldnieks
  • 스마트 관리자 (viedais pārvaldnieks)
  • Kakao drošība
  • Programmatūras atjaunināšanas utilīta

Šīs lietotnes tika izplatītas gan Google Play Store kā uz platformām lejupielādēt alternatīvas, piemēram, APKPure. Ja savā ierīcē atrodat kādu no šīm problēmām, nekavējoties izdzēsiet lietotni un nomainiet visas paroles. Veiciet arī drošības skenēšanu, izmantojot cienījamu lietotni.

saistīto rakstu:
XNSPY, labākā spiegu programmatūra viedtālrunim

Kāda veida informāciju KosPy nozaga un kā tas tika izdarīts?

KosPy piekļuves līmenis un apkopoto datu apjoms ievērojami pārsniedz to, kas raksturīgs izplatītai mobilo ierīču ļaunprogrammatūrai. Starp iegūto informāciju ir:

  • Īsziņas (SMS un, iespējams, citi ziņojumapmaiņas pakalpojumi)
  • Pilna informācija par zvanu žurnāliem: numuri, ilgums, laiks un datums
  • Mobilā tālruņa atrašanās vietas koordinātas reāllaikā
  • Dokumenti, attēli un faili no iekšējās atmiņas
  • No mikrofona uztvertās skaņas: sarunas, atmosfēra utt.
  • Fotoattēli, kas uzņemti, kad kamera bija aktivizēta fonā
  • Ekrānuzņēmumi un ieraksti, kas ļauj redzēt visu, ko lietotājs skatīja vai ierakstīja
  • Taustiņnospiedienu bloķēšana ļaunprātīgi izmanto piekļuves atļaujas
  • Wi-Fi tīkla informācija un instalēto lietotņu saraksts

Turklāt, Visa šī informācija tika šifrētā veidā nosūtīta uz vadības un kontroles (C2) serveriem, izmantojot aizsargātus kanālus., kas apgrūtināja atklāšanu, izmantojot tradicionālos pretvīrusu rīkus.

Svarīgi padomi, kā neiekrist tādos slazdos kā KosPy

Eksperti un analītiķi, ar kuriem konsultējās pēc KosPy atklāšanas, iesaka ievērot īpašu piesardzību, jo pat lietotņu instalēšana tikai no Google Play veikala negarantē absolūtu drošību. Padomi ietver:

  • Vienmēr pārbaudiet lietotņu atsauksmes un vērtējumus un esiet piesardzīgs attiecībā uz tām, kurām ir maz komentāru vai negatīvi vērtējumi.
  • Pārbaudiet izstrādātāja nosaukumu, meklējiet papildu informāciju par viņu un pārliecinieties, vai viņš/viņa ir uzticama un atzīta persona.
  • Pievērsiet uzmanību lejupielāžu skaitam: ja lietotne ir jauna vai tai ir ļoti zems lejupielāžu skaits, esiet īpaši uzmanīgi.
  • Pārliecinieties, vai jūsu operētājsistēma un lietojumprogrammas vienmēr ir atjauninātas, jo lielākā daļa drošības nepilnību tiek novērstas, izmantojot oficiālus ielāpus.
  • Piešķiriet katrai lietotnei tikai nepieciešamās atļaujas. Ja failu pārvaldības lietojumprogramma pieprasa piekļuvi mikrofonam vai kamerai, tas ir iemesls trauksmei.
  • Ja jums ir instalēta kāda no identificētajām inficētajām lietotnēm, nekavējoties noņemiet to, nomainiet paroles un veiciet pilnu drošības pārbaudi.
  • Apsveriet iespēju instalēt uzticamu mobilo ierīču drošības risinājumu, lai uzlabotu aizsardzības līmeni un nepārtrauktu uzraudzību.

Globālā reakcija un pašreizējā situācija

Pēc plašā KosPy atspoguļojuma plašsaziņas līdzekļos un Lookout vadītās izmeklēšanas Google ir pastiprinājis savu kontroli un Play Protect sistēmu, bloķējot un noņemot visus zināmos šīs spiegprogrammatūras variantus. Turklāt starptautiska sadarbība starp kiberdrošības uzņēmumiem un tehnoloģiju gigantiem ir būtiska, lai neitralizētu šos draudus, pirms tie kļūst plaši izplatīti.

Kopš KosPy noņemšanas nav parādījušies jauni masveida inficēšanās gadījumi, izmantojot Google Play veikalu, lai gan ir svarīgi saglabāt modrību, jo uzbrucēji pastāvīgi attīsta savas metodes.

KosPy atklāšana ir izcēlusi digitālās spiegošanas pieaugošo sarežģītību Android ekosistēmā, pierādot, ka neviens nav pasargāts no kļūšanas par upuri. Sadarbība starp valsts dalībniekiem un hakeru grupām, piemēram, ScarCruft un Kimsuky, oficiālo veikalu izmantošana un spēja maskēties kā šķietami nekaitīgas lietotnes uzsver proaktīvas pieejas digitālajai aizsardzībai nozīmi.

Kā pārvērst savu Android par spiegu kameru
saistīto rakstu:
Kā pārvērst savu Android par spiegu kameru

Aktīva uzraudzība, atļauju kritiska analīze un nepārtraukta atjaunināšana ir labākie šķēršļi šo draudu novēršanai. Kopīgojiet informāciju, lai citi lietotāji būtu informēti par jaunumiem..


Sekojiet mums pakalpojumā Google ziņas