Észak-koreai kémszoftver került fel a Google Play Áruházba

A Lookout a szerdán közzétett jelentése szerint több különböző változatát is azonosították egy KoSpy nevű kémszoftvernek amely a minden Android-alapú okostelefonon elérhető Google Play áruházban volt elérhető.

A cég nagy bizonyossággal állítja, hogy a program az észak-koreai kormányhoz köthető.

A Lookout szerint a KoSpy jelentős mennyiségű érzékeny információt gyűjt be az azzal megfertőződött eszközökről. Hozzáférhet többek között

• SMS-üzenetekhez és a hívásnaplókhoz,
• helyadatokhoz,
• fájlokhoz,
• a felhasználók által begépelt szövegekhez,
• illetve akár Wi-Fi hálózati adatokhoz is.

Emellett a kártékony alkalmazás képes hangfelvételeket készíteni, fényképezni és képernyőképeket is rögzíteni az érintett eszközön.

A Google szóvivője, Ed Fernandez megerősítette, hogy az azonosított alkalmazásokat eltávolították a Play áruházból, és a kapcsolódó Firebase projekteket is deaktiválták, ami lényeglében a Google alkalmazások egyik legelterjedtebb fejlesztői felületének számít.

A vállalat közlése szerint a Google Play automatikusan védi a felhasználókat a kártevő ismert változataitól az Android eszközökön.

A Lookout szakértői szerint bár nem tudják pontosan, kiket célozhattak meg a támadók, de meggyőződésük, hogy ez egy rendkívül célzott kampány volt, amely valószínűleg dél-koreai, angol vagy koreai nyelvet beszélő személyek ellen irányult. Ezt az alkalmazások elnevezései és a felhasználói felület kétnyelvűsége is alátámasztja.

A kutatók azt is megállapították, hogy a kémszoftverek olyan domain neveket és IP-címeket használtak, amelyeket korábban már azonosítottak az észak-koreai kormányzati hackercsoport, az APT37 és APT43 által használt malware-ekben.

Észak-Koreához köthető hackerek nemrég azzal kerültek be a hírekbe, hogy a Bybit kriptotőzsde egyik tárcáját feltörve nagyjából 1,4 milliárd dollár értékű Ethereumot tulajdonítottak el, amely jelentős eséseket okozott a kriptovaluták piacán.

A címlapkép illusztráció. Címlapkép forrása: Getty Images