Volgens cyberbeveiligingsbedrijf Lookout heeft een groep hackers met banden met het Noord-Koreaanse regime Android-spyware geüpload naar de Google Play App Store en sommige mensen ertoe verleid deze te downloaden. In een rapport dat woensdag werd vrijgegeven, beschrijft Lookout een spionagecampagne met meerdere verschillende Android-spyware-voorbeelden die het KoSpy noemt en "een hoge mate van vertrouwen" heeft dat de spyware het werk is van de Noord-Koreaanse regering.
Volgens een in het cachegeheugen opgeslagen momentopname van de pagina van de app in de officiële Android App Store is er minstens één spyware-app op Google Play verschenen en meer dan tien keer gedownload. Lookout heeft een screenshot van de pagina in zijn rapport opgenomen.
Noord-Koreaanse hackers hebben de afgelopen jaren de krantenkoppen gehaald vanwege hun gedurfde cryptocurrency-overvallen, zoals de recente diefstal van ongeveer $ 1,4 miljard aan Ethereum uit de cryptocurrency-uitwisseling Bybit. Bij deze nieuwe spywarecampagne wijzen alle tekenen er echter op dat het om een surveillanceoperatie gaat, gebaseerd op de mogelijkheden van de door Lookout geïdentificeerde spywaretoepassingen.
De doelstellingen van de Noord-Koreaanse spywarecampagne zijn onduidelijk, maar Christoph Hebeisen, directeur veiligheidsonderzoek bij Lookout, vertelde TechCrunch dat de spywaretoepassing, aangezien er slechts een klein aantal downloads waren, waarschijnlijk op een specifieke groep mensen was gericht.
Volgens Lookout verzamelt KoSpy "een grote hoeveelheid gevoelige informatie", waaronder sms-berichten, oproeplogboeken, locatiegegevens van het apparaat, bestanden en mappen op het apparaat, toetsaanslagen die door de gebruiker worden ingevoerd, Wi-Fi-netwerkgegevens en een lijst met geïnstalleerde apps.
KoSpy kan ook audio opnemen, foto's maken met de camera van je telefoon en schermafbeeldingen maken terwijl het in gebruik is.
Lookout ontdekte ook dat KoSpy vertrouwt op Firestore, een clouddatabase gebouwd op Google Cloud Infrastructure, voor het ophalen van 'initiële configuraties'.
Google-woordvoerder Ed Fernandez zei dat mlookout zijn rapport met het bedrijf heeft gedeeld en dat "alle bevestigde apps van Play zijn verwijderd en het Firebase-project is gedeactiveerd", inclusief het KoSpy-voorbeeld op Google Play. Google Play beschermt de Android-apparaten van gebruikers automatisch tegen bekende versies van malware. "
Google heeft geen commentaar gegeven op een reeks specifieke vragen over het rapport, waaronder de vraag of Google het eens is met het toeschrijven ervan aan het Noord-Koreaanse regime en andere details over het Lookout-rapport.
Het rapport vermeldde ook dat Lookout een aantal spyware-apps vond in de app store van derden. Een woordvoerder van $$$ zei dat het bedrijf geen "e-mails" van Lookout had ontvangen.
Lookout's Hebeisen en senior security intelligence-onderzoeker Alemdar Islamoglu zeiden dat hoewel Lookout geen informatie heeft over wie specifiek het doelwit is geweest (gehackt), het bedrijf er vertrouwen in heeft dat het een zeer gerichte campagne was, met als doelwit waarschijnlijk mensen die Engels of Koreaans spreken in Zuid-Korea.
In het rapport staat dat Lookout hun beoordeling baseerde op de app-namen die ze vonden, waarvan sommige in het Koreaans waren, en dat sommige apps titels in het Koreaans hadden en gebruikersinterfaces die beide talen ondersteunden.
Lookout ontdekte ook dat eerder is bevestigd dat de domeinnamen en IP-adressen die door deze spywaretoepassingen worden gebruikt, aanwezig zijn in de malware en de commando- en controle-infrastructuur die wordt gebruikt door de Noord-Koreaanse hackgroepen APT37 en APT43.
“Het unieke aan Noord-Koreaanse dreigingsactoren is dat ze er vaak in slagen apps in officiële appstores te krijgen”, zegt Hebeisen.