Uważaj, co pobierasz. Groźni hakerzy przedostali się do sklepu Google Play
Północnokoreańscy hakerzy udostępnili w sklepie Google Play oprogramowanie szpiegujące. Pod przykrywką przydatnych narzędzi na smartfona, aplikacje wykradały dane i przesyłały je do hakerów w Pjongjangu.
Powiedzenie "najciemniej jest pod latarnią" doskonale sprawdza się w przypadku sklepu Google Play. Choć aplikacje w sklepie w zdecydowanej większości są przyjazne użytkownikowi, to systemy bezpieczeństwa Google nie są idealne i niekiedy przedostaje się przez nie złośliwe oprogramowanie.
Jak się okazuje, także złośliwe oprogramowanie autorstwa hakerów działających na zlecenie rządu Korei Północnej.
Zobacz także: Co to jest spoofing? Oto jak go rozpoznać i skutecznie się przed nim chronić
Koreańczycy z Północy zawitali do sklepu Google Play
W opublikowanym w środę raporcie, eksperci z Lookout - firmy z branży cyberbezpieczeństwa, szczegółowo opisali kampanię dystrybucji złośliwego oprogramowania szpiegującego poprzez aplikacje w sklepie Google Play. Eksperci opisują swoje odkrycie zbiorową nazwą "KoSpy" i jego pochodzenie z "dużą pewnością" przypisuje rządowi Korei Północnej.
Aplikacje zawierające kod KoSpy zostały odkryte w sklepie Google Play oraz Firebase Firestore i we wszystkich przypadkach udawały zwykłe aplikacje - galerię zdjęć, menedżera plików czy aplikację antywirusową.
Po instalacji aplikacje prosiły o liczne uprawnienia, które umożliwiały im w tle odczytywanie różnych informacji o urządzeniu i informacji wprowadzanych przez użytkownika, takich jak nasłuchiwanie mikrofonu, odczytywanie wiadomości SMS, rejestrowanie ruchu palców na ekranie, czy lokalizację urządzenia. Dane te następnie były przesyłane na serwery, których adresy IP w przeszłości powiązane z działalnością dwóch grup hakerskich z Korei Północnej APT43 oraz APT37.
Same aplikacje dostępne były jedynie w językach angielskim i koreańskim, a hakerzy stworzyli kanał na YouTube oraz blog w domenie Blogspot w celu promocji oprogramowania. Przed usunięciem z Google Play, aplikacje dorobiły się dwucyfrowych liczb pobrań.
Autorzy raportu w rozmowie z serwisem TechCrunch stwierdzili, że chociaż Lookout nie ma żadnych informacji o tym, kto konkretnie mógł być celem, to firma jest "przekonana, że była to wysoce ukierunkowana kampania, najprawdopodobniej skierowana przeciwko osobom w Korei Południowej, które mówią po angielsku lub koreańsku".
Może zainteresować cię także:
