Új Android spyware-t azonosítottak a Google Play Áruházban

A „KoSpy” elnevezésű új Android spyware legalább öt rosszindulatú alkalmazáson keresztül került be a Google Play Áruházba és egy harmadik féltől származó APKPure nevű alkalmazásboltba.
A Lookout kutatói szerint a kémprogram az APT37 (más néven ScarCruft) észak-koreai csoporthoz köthető olyan IP-címek, domainek és infrastrukturális átfedések alapján, amelyek más észak-koreai fenyegetés szereplőkkel -például az APT43 csoporttal- is kapcsolatba hozhatók. A kampány 2022 márciusa óta aktív, a támadók folyamatosan fejlesztik a malware-t.

A Lookout által azonosított öt alkalmazás:

  • Phone Manager
  • File Manager
  • Smart Manager
  • Kakao Security
  • Software Update Utility

A fertőzött alkalmazások részben valódi funkcionalitással rendelkeztek, miközben a háttérben betöltötték a KoSpy spyware-t. Kivételt képezett a Kakao Security, amely csak egy megtévesztő rendszerablakot jelenített meg, miközben olyan engedélyeket próbált megszerezni, amelyek hozzáférést biztosítanak az eszköz érzékeny adataihoz. A kampány főként koreai és angol nyelvű felhasználókat célzott meg.

1. ábra A KoSpy alkalmazások felülete. forrás: Lookout

 

A KoSpy aktiválódást követően egy titkosított konfigurációs fájlt tölt le egy Firebase Firestore adatbázisból annak érdekében, hogy elkerülje a detektálást. Ezután kapcsolódik a C2 (command and control) szerverhez, majd ellenőrzi, hogy emulátoron fut-e. A malware képes frissített beállításokat és további payloadokat letölteni a C2-ről, továbbá dinamikusan aktiválható/deaktiválható egy “on/off” gombbal. A malware az adatokat egy hardkódolt AES kulccsal titkosítva küldi el.

A KoSpy kiterjedt adatgyűjtési képességekkel rendelkezik:

  • SMS-eket és hívásnaplókat hallgat le
  • Valós időben követi nyomon az áldozat GPS-helyzetét
  • Beolvassa és kiszűri a fájlokat a helyi tárhelyről
  • Az eszköz mikrofonjának segítségével hangot rögzít
  • A készülék kamerájával fényképeket és videókat rögzít
  • Képernyőképeket készít az eszköz kijelzőjéről
  • Rögzíti a billentyűleütéseket az Android Accessibility Services (kisegítő szolgáltatások) segítségével

Annak ellenére, hogy a fertőzött alkalmazásokat már eltávolították a Google Playről és az APKPure-ról is, a felhasználóknak manuálisan kell törölniük azokat a készülékeikről, valamint ajánlott futtatni egy vírusírtót is. Súlyos fertőzöttség esetén pedig javasolt visszaállítani a gyári beállításokat.

A Google Play Protect képes blokkolni az ismert rosszindulatú alkalmazásokat, ezért engedélyezése és naprakészen tartása az Android eszközökön segíthet a KoSpy elleni védelemben.

(bleepingcomputer.com)