KosPy: Allt om det nordkoreanska spionprogrammet som attackerade Android världen över

  • KosPy är ett avancerat spionprogram som distribueras via bedrägliga appar i Google Play Store och alternativa butiker.
  • Den skadliga programvaran kopplades till nordkoreanska statliga cyberspionagegrupper som APT37 (ScarCruft) och APT43 (Kimsuky).
  • Den stjäl personuppgifter, meddelanden, samtal och platsinformation, och kontrollerade kritiska telefonfunktioner, och eliminerades efter en varning från Lookout-experter.
Joaquin Romero

9 minuter

Lär dig allt om KosPy, det nordkoreanska spionprogrammet.

Android-enhetssäkerhet är tillbaka i rampljuset efter upptäckten av en sofistikerad digital spionkampanj orkestrerad från Nordkorea. Huvudpersonen i denna invecklade komplott är KosPy, ett spionprogram som, förklätt till legitima applikationer, har lyckats infektera tusentals mobiltelefoner runt om i världen och samlat in personlig och konfidentiell information från användare i olika länder. I den här omfattande artikeln kommer vi att gå igenom allt vi vet om KosPy, från dess ursprung, distributionsmetod och tekniska kapacitet till de åtgärder som vidtagits för att stoppa dess spridning, tillsammans med användbara rekommendationer för att skydda dig mot liknande hot i framtiden.

Om du någonsin har laddat ner en app för att hantera dina filer eller förbättra säkerheten för din Android från butiker som Google Play Store eller alternativa plattformar, är detta av stort intresse för dig. Låt oss granska hur detta spionprogram undvek säkerhetskontroller, vilken typ av information det kunde samla in, varför det anses vara ett hot kopplat till nordkoreansk underrättelsetjänst och hur man upptäcker varningstecken innan det är för sent.

Vad är KosPy och vem ligger bakom det?

KosPy är ett spionprogram som upptäckts på Android-enheter och är direkt kopplat till nordkoreanska statsstödda cyberspionagegrupper. Dess existens dokumenterades av Lookout-teamet, ett cybersäkerhetsföretag som specialiserar sig på hot mot mobila enheter, som upptäckte att denna skadliga programvara låg på till synes ofarliga appar som var tillgängliga både i Google Play Store och i tredjepartsappbutiker, som APKPure.

Hur man skickar Live Photos på WhatsApp
Relaterad artikel:
WhatsApp varnar för spionprogram som äventyrar mobil säkerhet

KosPy tillskrivs främst en grupp som kallas APT37 eller ScarCruft, allmänt erkänt för sina cyberspionageoperationer med kopplingar till den nordkoreanska regeringen i mer än ett decennium. Inte bara det: Den digitala infrastrukturen som används av KosPy delar kopplingar med en annan känd grupp, Kimsuky (APT43), vilket visar på en nivå av samordning och tekniska resurser som endast statliga aktörer har råd med.

Se upp för KosPy, spionprogrammet som utvecklats av Nordkorea

Distributionsmetoder: Så här infiltrerade KosPy tusentals Android-enheter

KosPys stora uppfinningsrikedom (och fara) ligger i dess spridningssätt, då den lyckades övervinna Googles strikta kontroller och smyga in som om det vore en äkta app., ett problem som äventyrar förtroendet för officiella appbutiker.

Bland de mest anmärkningsvärda teknikerna:

  • Bedrägliga applikationer förklädda till verktyg (filhanterare, programuppdateringsverktyg, säkerhetsförbättringar etc.).
  • Närvaro av Grundläggande gränssnitt och titlar på engelska och koreanska, som riktar sig till en specifik målgrupp.
  • Inkludera KosPy i appar som «Mobiltelefonansvarig (telefonhanterare)», «fILHANTERAREN" 'Smart Manager (smart chef)», «Kakao säkerhet (Kakao Security)» och «Programvaruuppdateringsverktyg«. Alla är legitimt godkända i Google Play Store och till och med replikerade på APKPure.
  • Plattformmanipulation Firebase som en kommando- och kontrollinfrastruktur (C2) och att dynamiskt ladda ner ytterligare konfigurationer när appen har installerats på offrets enhet.

Utvecklaren bakom dessa appar verkade under pseudonymen "Android Utility Developer" och lämnade till och med ut kontakt-e-postadresser för att gå obemärkt förbi. Efter forskarnas varning tog Google inte bara bort alla infekterade appar från sin butik utan inaktiverade även de tillhörande Firebase-projekten, vilket avbröt kommunikationskanalen mellan komprometterade enheter och cyberbrottslingarnas servrar.

Hur fungerar KosPy när den infekterar enheten?

De största oron kring KosPy är det breda utbudet av data den kan samla in och sofistikeringen av dess extraktionsmetoder. När du öppnar en av dessa falska appar startar KosPy i bakgrunden, bäddar in sin skadliga kod för att förbli oupptäckt och begär utökade åtkomstbehörigheter.

Bland de viktigaste tekniska funktionerna hos spionprogram är:

  • Läsning och exfiltrering av SMS-meddelanden.
  • erhållande av samtalsloggar och kontakter.
  • GPS-positionsövervakning, användarspårning i realtid.
  • Tillgång till filer och mappar som lagras lokalt på telefonen.
  • Inspelning av omgivande ljud använda mikrofonen och ta bilder genom kameran.
  • Fångst av skärmdumpar och skärminspelningar, bokstavligen spionerar på allt som visas eller görs på mobilen.
  • Loggning av tangenttryckningar och appanvändning genom att utnyttja tillgänglighetstjänster, vilket kan möjliggöra avlyssning av lösenord och inloggningsuppgifter.
  • Att få information om WiFi-nätverk som enheten ansluter till och lista över installerade applikationer.

Data överförs krypterat (med en fördefinierad AES-algoritm) till C2-servrar som kontrolleras av nordkoreanska hackare, vilket gör det svårt för konventionell detektion att identifiera informationsläckan.

Vem riktade KosPy in sig på?

Även om KosPy har spridit sig globalt riktade sig de flesta attackerna mot koreanska och engelsktalande användare.. Apparnas språk och de begärda behörigheterna var en av ledtrådarna som användes för att filtrera bort potentiella offer, som uppenbarligen riktade in sig på Sydkorea och engelsktalande länder. Analyserna beskriver dock även infektioner i andra regioner, inklusive Japan, Vietnam, Ryssland, Nepal, Kina, Indien, Kuwait, Rumänien och flera stater i Mellanöstern.

Detta indikerar en strategiskt intresse på internationell nivå, antingen för att få tillgång till relevant personlig information eller för att spionera på politiska, affärsmässiga eller teknologiska rörelser.

Använd Airtag för att spionera på en Android-mobil
Relaterad artikel:
Använd Airtag för att spionera på en Android-mobil

Kampanjens utveckling och Googles reaktion

Den första dokumenterade förflyttningen av KosPy dateras tillbaka till mars 2022, även om de senaste proverna spårades tillbaka till början av förra året.. Enligt Google och Lookout togs alla relaterade appar bort från Play Store när skadlig programvarans existens bekräftades. Dessutom blockerar Google Play Protect för närvarande installationen av kända KosPy-varianter, även om de laddas ner från en annan plattform än den officiella butiken.

Sin embargo, Det finns ingen offentlig data om hur många nedladdningar som skedde före tillbakadragandet eller hur många varianter som kan ha cirkulerat oupptäckta.. Därför rekommenderas det att aktivt övervaka appbehörigheter, samt att hålla Android och alla appar uppdaterade med de senaste säkerhetsversionerna.

Förhållandet mellan KosPy, ScarCruft (APT37), Kimsuky (APT43) och nordkoreansk underrättelsetjänst

Att KosPy tillskrivs nordkoreansk statlig cyberspionage stöds av flera tekniska och infrastrukturella detaljer:

  • Den infrastruktur som används (IP-adresser och domäner för C2-servrar) har använts i tidigare attacker som tillskrivits Nordkorea sedan åtminstone 2019.
  • Skadliga program delar tekniker, taktiker och procedurer (TTP:er) med ScarCruft/APT37-kampanjer.
  • En del av koden och infrastrukturen har också kopplats till Kimsuky/APT43, vilket indikerar möjligt samarbete eller resursdelning mellan de två grupperna.
  • Språket, det regionala fokuset och typen av stulen information stämmer överens med intressen som traditionellt förknippas med nordkoreansk underrättelsetjänst.

Denna överlappning i metoder och mål mellan nordkoreanska APT-grupper innebär ibland att tillskrivningen av en specifik attack inte är 100 % korrekt, men källan är tydlig för säkerhetsexperter.

Lista över de mest relevanta infekterade applikationerna

Om du har frågor om appar som du har installerat på din Android, kolla in dessa namn, som har bekräftats i Lookout-rapporter och rapporterats av media:

  • 휴대폰 관리자 (Telefonhanterare)
  • fILHANTERAREN
  • 스마트 관리자 (Smart Manager)
  • Kakao säkerhet
  • Programvaruuppdateringsverktyg

Dessa appar distribuerades både i Google Play Store som på plattformar nedladdningsalternativ, som APKPure. Om du upptäcker något av detta på din enhet, radera appen omedelbart och ändra alla lösenord. Kör även en säkerhetsskanning med en pålitlig app.

Relaterad artikel:
XNSPY, den bästa spionprogramvaran för din smartphone

Vilken typ av information stal KosPy och hur gjorde de det?

Åtkomstnivån och volymen av data som samlas in av KosPy överstiger vida vad som är typiskt för vanlig mobil skadlig kod. Bland den information som utvunnits finns:

  • Textmeddelanden (SMS och eventuellt andra meddelandetjänster)
  • Fullständig information om samtalsloggar: nummer, längd, tid och datum
  • Koordinater för mobilens position i realtid
  • Dokument, bilder och filer från internminnet
  • Ljud som uppfattas från mikrofonen: samtal, atmosfär etc.
  • Foton tagna när kameran var aktiverad i bakgrunden
  • Skärmdumpar och inspelningar, så att du kan se allt som användaren tittade på eller skrev
  • Keylogging missbrukar tillgänglighetsbehörigheter
  • Wi-Fi-nätverksinformation och lista över installerade appar

Dessutom, All denna information skickades krypterad till kommando- och kontrollservrarna (C2) via skyddade kanaler., vilket gjorde det svårt att upptäcka med traditionella antivirusverktyg.

Viktiga tips för att undvika att falla i fällor som KosPy

Experter och analytiker som konsulterats efter att ha upptäckt KosPy rekommenderar extrem försiktighet, eftersom även installation av appar enbart från Google Play Store inte garanterar absolut säkerhet. Tips inkluderar:

  • Kontrollera alltid recensioner och betyg av appar, och var försiktig med de med få kommentarer eller negativa betyg.
  • Kontrollera utvecklarens namn, leta efter ytterligare information om dem och se om de är en betrodd och erkänd enhet.
  • Var uppmärksam på antalet nedladdningar: om appen är ny eller har mycket låga nedladdningsfrekvenser, var extra försiktig.
  • Se till att ditt operativsystem och dina applikationer alltid är uppdaterade, eftersom de flesta säkerhetshål åtgärdas via officiella patchar.
  • Ge endast nödvändiga behörigheter till varje app. Om ett filhanteringsprogram begär åtkomst till mikrofonen eller kameran är detta en anledning till oro.
  • Om du har någon av de identifierade infekterade apparna installerade, ta bort dem omedelbart, ändra dina lösenord och utför en fullständig säkerhetskontroll.
  • Överväg att installera en pålitlig mobil säkerhetslösning för att öka din skyddsnivå och kontinuerliga övervakning.

Den globala responsen och den nuvarande situationen

Efter den omfattande mediebevakningen av KosPy och utredningen som leddes av Lookout har Google stärkt sina kontroller och Play Protect-systemet, och blockerat och tagit bort alla kända varianter av detta spionprogram. Dessutom är internationellt samarbete mellan cybersäkerhetsföretag och teknikjättar nyckeln till att neutralisera dessa hot innan de blir utbredda.

Sedan KosPy togs bort har inga nya fall av massinfektion via Google Play Store uppstått, även om det är viktigt att förbli vaksam, eftersom angripare ständigt utvecklar sina tekniker.

Upptäckten av KosPy har belyst den växande sofistikeringen av digital spionage i Android-ekosystemet, vilket visar att ingen är immun mot att bli ett offer. Samarbetet mellan statliga aktörer och hackergrupper som ScarCruft och Kimsuky, utnyttjandet av officiella butiker och möjligheten att dölja sig som till synes ofarliga appar understryker vikten av att upprätthålla en proaktiv strategi för digitalt skydd.

Hur man förvandlar din Android till en spionkamera
Relaterad artikel:
Hur man förvandlar din Android till en spionkamera

Aktiv övervakning, kritisk analys av tillstånd och kontinuerlig uppdatering är de bästa hindren mot dessa hot. Dela informationen så att andra användare får veta nyheterna..


Följ oss på Google Nyheter