Νέο spyware για Android σερβίρει τα δεδομένα σας σε χάκερς της Βόρειας Κορέας … στο πιάτο…
Το κακόβουλο λογισμικό spyware για Android KoSpy, που αποδίδεται στους χάκερς της Βόρειας Κορέας ScarCruft, μπορεί να παρακολουθεί SMS, κλήσεις, τοποθεσία, αρχεία και στιγμιότυπα οθόνης μέσω πρόσθετων που φορτώνονται στο κινητό σας, δυναμικά.
Το νέο κακόβουλο λογισμικό KoSpy, είναι ενεργό από το 2022 και πιθανώς διανέμεται από χάκερς της Βόρειας Κορέας που υποστηρίζονται από το κράτος και στοχεύει χρήστες που μιλούν Κορεάτικα και Αγγλικά, όπως ισχυρίζονται ερευνητές της εταιρείας κυβερνοασφάλειας Lookout.
Οι ερευνητές βρήκαν το κακόβουλο λογισμικό σε πολλές εφαρμογές στο Google Play Store, οι οποίες -ευτυχώς- έχουν πλέον αφαιρεθεί, καθώς και σε καταστήματα “τρίτων” προμηθευτών, όπως το Apkpure.
Οι περισσότερες εφαρμογές που περιέχουν το KoSpy, όπως το Phone Manager ή το Smart Manager, προσφέρουν βασικές λειτουργίες, όπως η προβολή των εσωτερικών ρυθμίσεων του τηλεφώνου. Εν τω μεταξύ, η εφαρμογή Kakao Security δεν έχει καμιά ιδιαίτερα χρήσιμη λειτουργία και αναφέρεται ότι απλά εμφανίζει ένα ψεύτικο παράθυρο συστήματος ζητώντας πολλαπλά δικαιώματα.
Σύμφωνα με την Lookout, το KoSpy ξεκινά τη λειτουργία spyware λαμβάνοντας πρώτα μια απλή κρυπτογραφημένη διαμόρφωση από το Firebase Firestore, η οποία περιέχει έναν διακόπτη “on”/”off” και τη διεύθυνση του διακομιστή Command and Control (C2).
“Αυτή η διπλή δυνατότητα διαχείρισης (C2) παρέχει στους κυβερνοεγκληματίες ευελιξία και ανθεκτικότητα. Μπορούν να ενεργοποιήσουν ή να απενεργοποιήσουν το spyware και να αλλάξουν τις διευθύνσεις C2 ανά πάσα στιγμή, σε περίπτωση που εντοπιστεί ή αποκλειστεί ένα C2”, αναφέρει η έκθεση.
Το spyware μπορεί να συλλέξει μια μεγάλη ποσότητα ευαίσθητων πληροφοριών στις συσκευές των θυμάτων χρησιμοποιώντας πρόσθετα που φορτώνουν στο κινητό τους δυναμικά.
Οι δυνατότητές του, περιλαμβάνουν τη συλλογή μηνυμάτων SMS και αρχείων κλήσεων, την πρόσβαση σε αρχεία και φακέλους στην τοπική αποθήκευση, την εγγραφή ήχου και τη λήψη φωτογραφιών με τις κάμερες, καθώς και τη λήψη στιγμιοτύπων οθόνης.
Τα δεδομένα δεδομένα που συλλέγονται, στη συνέχεια αποστέλλονται στους διακομιστές C2 μετά την κρυπτογράφησή τους με έναν σκληρά κωδικοποιημένο κλειδί AES. Κατά τη διάρκεια της ανάλυσης, οι ερευνητές λένε ότι παρατήρησαν πέντε Firebase διαδικασίες και πέντε διαφορετικούς διακομιστές C2.
Σύμφωνα με την Lookout, το KoSpy έχει πολλές ομοιότητες με προηγούμενες κακόβουλες δραστηριότητες ,που αποδίδονται σε δύο βορειοκορεατικές ομάδες απειλών. Η μία είναι η ScarCruft, επίσης γνωστή ως APT37, που στοχεύει κυρίως Κορεάτες χρήστες αλλά έχει επίσης εμφανιστεί και σε άλλες χώρες, όπως για παράδειγμα της Ιαπωνίας, της Ρωσίας και της Κίνας.
Οι ερευνητές ισχυρίζονται ότι βρήκαν επίσης στοιχεία, ότι η ομάδα αυτή μοιράζεται τις υποδομές της με μια άλλη βορειοκορεατική ομάδα χάκερ, την Kimsuky, επίσης γνωστή ως APT43.
Πηγή : CyberNews.Com
