El nuevo software de Spy Android llamado “Kospy” está vinculado a las amenazas de Corea del Norte que se han infiltrado en Google Play y una tienda de terceros en la App Store a través de al menos cinco aplicaciones maliciosas.
Según los investigadores de Lookout, Spy Software se otorga a la amenaza de Corea del Norte de Corea del Norte (también conocido como “escorruct”). La campaña ha estado activa desde marzo de 2022, los actores de amenaza desarrollan activamente malware basado en muestras más recientes.
La campaña de spyware se dirige principalmente a los usuarios coreanos e ingleses disfrazándose de gerentes de archivos, herramientas de seguridad y actualizaciones de software.
Las cinco aplicaciones víctimas de velocidades identificadas son 휴대폰 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자., File Manager (com.file.exploer), 스마트 관리자 (Smart Manager), 카카오 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 eléctricaY Utilidad de actualización de software.
Fuente: Lookout
Las aplicaciones maliciosas ofrecen al menos algunas de las características prometidas, pero cargan el software Kospy Spy en segundo plano.
La única excepción es Kakao Security, que muestra solo una ventana del sistema falso al tiempo que requiere acceso a autorizaciones riesgosas.
Fuente: Lookout
La campaña se asignó a APT37 sobre la base de direcciones IP previamente vinculadas a las operaciones de Corea del Norte, áreas que facilitaron la distribución de malware de Konni e infraestructura que monta APT43, otro grupo de amenazas patrocinadas por el PDR.
Detalles de Kospy
Una vez activo en el dispositivo, Kospy recupera un archivo de configuración cifrado de una base de datos Firebase Firebase para escapar de la detección.
Luego, se conecta al servidor de control y control real (C2) y ejecuta las verificaciones para asegurarse de que no funcione en un emulador. El malware puede recuperar la configuración actualizada de C2, cargos útiles adicionales que se ejecutarán y se activan / desactivan dinámicamente a través de un interruptor “activado / apagado”.
Las capacidades de recopilación de datos de Kospy son:
- Interception SMS y llame a los periódicos
- Sigue la ubicación del GPS de la víctima en tiempo real
- Ced y exfiltrado archivos de almacenamiento locales
- Use el micrófono del dispositivo para guardar audio
- Use la cámara de la cámara para capturar fotos y videos
- Capturas de pantalla de capturas de pantalla de la pantalla del dispositivo
- Guardar las claves a través de los servicios de accesibilidad de Android
Cada aplicación utiliza un proyecto Firebase distinto y un servidor C2 para la exfiltración de datos, que está encriptada por una clave codificada antes de la transmisión.
Aunque las aplicaciones de Spyware ahora se han eliminado de Google Play y Apkpure, los usuarios tendrán que desinstalarlas manualmente y escanearlas con herramientas de seguridad para desarraigar los restos de sus dispositivos. En casos críticos, se recomienda el reinicio de fábrica.
Google Play Protect también puede bloquear aplicaciones maliciosas conocidas, por lo que activarlo en las actualizaciones de Android puede ayudar a proteger contra Kospy.
Un portavoz de Google confirmó a Bleeping Compomput que todas las aplicaciones de Kospy Identificado por Lookout Google Play se ha eliminado y que los proyectos básicos básicos también se han eliminado.
“El uso del lenguaje regional sugiere que esto estaba destinado al malware dirigido. Antes de cualquier instalación del usuario, la última muestra de software malicioso descubierta en marzo de 2024 se eliminó de Google Play”, dijo Google a BleepingCompute.
“Google Play Protect protege automáticamente a los usuarios de Android de versiones conocidas de este malware en dispositivos con los servicios de Google Play, incluso cuando las aplicaciones provienen de fuentes fuera del juego”.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.