В Google Play обнаружили северокорейский шпионский вирус: заражены тысячи устройств
Исследователи из Lookout выявили новый вид шпионского ПО для Android под названием KoSpy. Этот вирус, связанный с северокорейской хакерской группировкой APT37 (ScarCruft), был обнаружен в официальном магазине Google Play, а также на популярной платформе APKPure. Вредоносное ПО скрывалось в пяти легитимных на вид приложениях.
По словам специалистов, хакеры начали активное распространение KoSpy еще в марте 2022 года и продолжают совершенствовать его механизмы атаки.
Как действует шпион?
KoSpy маскируется под файловые менеджеры, инструменты безопасности и обновления для различных приложений. На момент обнаружения вредоносный код содержали как минимум пять приложений:
휴대폰 관리자 (Phone Manager)
File Manager (com.file.exploer)
스마트 관리자 (Smart Manager)
카카오 보안 (Kakao Security)
Software Update Utility
Интересно, что почти все эти приложения выполняли часть заявленных функций, чтобы не вызывать подозрений. Единственным исключением стало Kakao Security, которое показывало фальшивое системное окно, запрашивая доступ к важным разрешениям.
Как работает KoSpy?
После установки вирус автоматически загружает зашифрованный файл конфигурации из базы данных Firebase Firestore, что помогает ему избежать обнаружения антивирусами. Затем KoSpy подключается к серверу управления и проверяет, не запущен ли он в среде эмулятора.
KoSpy умеет:
Перехватывать SMS и историю звонков
Следить за GPS-координатами жертвы в реальном времени
Извлекать файлы из локального хранилища
Записывать звук через микрофон устройства
Снимать фото и видео с камеры
Создавать скриншоты экрана
Фиксировать нажатия клавиш с помощью Android Accessibility Services
Каждое приложение использует отдельный сервер Firebase, на который отправляются данные в зашифрованном виде с помощью жестко закодированного ключа AES.
Кто стоит за атакой?
Эксперты Lookout связали KoSpy с APT37 (ScarCruft) на основании следующих фактов:
Используемые IP-адреса уже фигурировали в атаках северокорейских хакеров.
Применяемые домены ранее использовались для распространения малвари Konni.
Хакерская инфраструктура пересекается с другой группой КНДР – APT43.
Удалены, но не уничтожены
Хотя Google уже удалила вредоносные приложения из Google Play, а APKPure также заблокировал их, угроза остается актуальной. Установленные ранее вирусные файлы не исчезнут с устройств автоматически, и пользователям необходимо вручную их удалить.
Как избавиться от KoSpy?
Проверьте список установленных приложений и удалите подозрительные программы.
Запустите антивирусное ПО, чтобы обнаружить остатки вируса.
При серьезном заражении сделайте сброс до заводских настроек.
«Использование регионального языка в названиях приложений указывает на целенаправленную атаку. Последняя версия вредоносной программы, выявленная в марте 2024 года, была удалена из Google Play до того, как её успели установить пользователи», — заявили представители Google.
Источники: lookout.com, cnews.ru, habr.com, ferra.ru
