Специалисты компании Lookout выявили несколько вредоносных приложений для Android, которые успешно прошли проверку безопасности и были размещены в магазине Google Play. Эти приложения тайно собирали конфиденциальную информацию пользователей и передавали ее северокорейским спецслужбам.
Вредоносное ПО, получившее название KoSpy, маскировалось под утилиты для управления файлами, обновления приложений, операционной системы и обеспечения безопасности устройств. Фактически программы собирали SMS-сообщения, журналы вызовов, данные о местоположении, файлы, окружающие аудиозаписи и скриншоты, отправляя их на серверы, контролируемые северокорейскими спецслужбами. Шпионские программы ориентированы на англо- и корейскоязычных пользователей.
Вредоносное ПО маскировалось под пять различных приложений: «Менеджер телефона», «Файловый менеджер», «Умный менеджер», «Безопасность Kakao» и «Утилита обновления программного обеспечения». Помимо Google Play, эти приложения также распространялись через сторонний маркет Apkpure. Даже когда приложения не размещались в Play, они использовали двухэтапную инфраструктуру управления, получая настройки конфигурации из базы данных, размещенной на платформе Google Firebase.
Специалисты Lookout отмечают, что KoSpy может собирать большой объем конфиденциальной информации с помощью динамически загружаемых плагинов. Собранные данные шифруются с использованием жестко запрограммированного ключа AES и отправляются на командные серверы. Google удалил как сами приложения, так и базу данных конфигурации со своей инфраструктуры.
Представитель Google сообщил, что последний образец вредоносного приложения был удален из Play до того, как получил какие-либо загрузки. Также отмечается, что Google Play Protect может обнаруживать некоторые вредоносные приложения, установленные на устройствах Android, «даже если приложения поступают из источников за пределами Play». Компания Lookout с умеренной степенью уверенности утверждает, что за вредоносными приложениями стоят северокорейские хакерские группы APT37 (ScarCruft) и APT43 (Kimsuki).
