KosPy: Minden az észak-koreai kémprogramról, amely világszerte megtámadta az Androidot

  • A KosPy egy fejlett kémprogram, amely csalárd alkalmazásokon keresztül terjed a Google Play Áruházban és alternatív áruházakban.
  • A rosszindulatú programot olyan észak-koreai állami kézben lévő kiberkémkedési csoportokhoz kötötték, mint az APT37 (ScarCruft) és az APT43 (Kimsuky).
  • Személyes adatokat, üzeneteket, hívásokat és helymeghatározási adatokat szivárgott ki, valamint kritikus telefonfunkciókat irányított, és a Lookout szakértőinek riasztása után sikerült megszüntetni.
Joaquin Romero

9 perc

Tudj meg mindent a KosPy-ról, az észak-koreai kémprogramról.

Az Android-eszközök biztonsága ismét a figyelem középpontjába került egy Észak-Koreából irányított kifinomult digitális kémkedési kampány leleplezése után. A bonyolult cselekmény főszereplője a KosPy, egy kémprogram, amely legitim alkalmazásoknak álcázva több ezer mobiltelefont fertőzött meg világszerte, személyes és bizalmas adatokat gyűjtve a felhasználóktól különböző országokban. Ebben a terjedelmes cikkben mindent lebontunk, amit a KosPy-ról tudunk, az eredetétől, a terjesztési módjától és a technikai képességeitől kezdve a terjedésének megállítására tett intézkedésekig, valamint hasznos ajánlásokat adunk a hasonló fenyegetések elleni jövőbeli védekezéshez.

Ha valaha is letöltöttél már alkalmazást a fájlaid kezelésére vagy az Androidod biztonságának javítására olyan áruházakból, mint a Google Play Áruház vagy alternatív platformok, ez nagyon érdekes lehet számodra. Tekintsük át, hogyan kerülte el ez a kémprogram a biztonsági ellenőrzéseket, milyen típusú információkat volt képes gyűjteni, miért tekintik az észak-koreai hírszerzéshez kapcsolódó fenyegetésnek, és hogyan lehet észrevenni a figyelmeztető jeleket, mielőtt túl késő lenne.

Mi az a KosPy és kik állnak mögötte?

A KosPy egy kémprogram, amelyet Android-eszközökön észleltek, és közvetlenül az észak-koreai állam által támogatott kiberkémkedési csoportokhoz kapcsolódik. Létezését a Lookout csapata, egy mobil eszközfenyegetésekre szakosodott kiberbiztonsági cég dokumentálta, akik kimutatták, hogy a rosszindulatú program látszólag ártalmatlan alkalmazásokban található, amelyek mind a Google Play Áruházban, mind harmadik féltől származó alkalmazásboltokban, például az APKPure-ben elérhetők.

Élő fényképek küldése a WhatsApp-on
Kapcsolódó cikk:
A WhatsApp a mobilbiztonságot veszélyeztető kémprogramokra figyelmeztet

A KosPy-t elsősorban egy olyan csoportnak tulajdonítják, amelyet a ... néven ismernek. APT37 vagy ScarCruft, amely több mint egy évtizede az észak-koreai kormánnyal összefüggésbe hozható kiberkémkedési műveleteiről ismert. Nem csak az, hogy: A KosPy által használt digitális infrastruktúra egy másik híres csoporttal, a Kimsukyval (APT43) is kapcsolatban áll., olyan szintű koordinációt és technikai erőforrásokat mutatva be, amelyeket csak az állami szereplők engedhetnek meg maguknak.

Óvakodj a KosPy-tól, az Észak-Korea által fejlesztett kémprogramtól

Terjesztési módok: Így szivárgott be a KosPy több ezer androidos rendszerbe

A KosPy nagy leleményessége (és veszélyessége) a terjedési módjában rejlik, mivel sikerült leküzdenie a Google szigorú ellenőrzését, és úgy beosonnia, mintha egy igazi alkalmazás lenne., egy olyan probléma, amely veszélyezteti a hivatalos alkalmazásboltokba vetett bizalmat.

A legkiemelkedőbb technikák közül:

  • Segédprogramnak álcázott csaló alkalmazások (fájlkezelők, szoftverfrissítő segédprogramok, biztonsági fejlesztések stb.).
  • Jelenléte Alapvető felületek és címek angol és koreai nyelven, amely egy adott közönséget céloz meg.
  • A KosPy beillesztése olyan alkalmazásokba, mint a «Mobiltelefon menedzser (telefonkezelő)», «File Manager""Intelligens menedzser (okos menedzser)», «Kakao Security (Kakao Security)» és «Szoftverfrissítő segédprogram«. Mindegyiket legálisan jóváhagyták a Google Play Áruházban, sőt, az APKPure-on is lemásolták.
  • Platformmanipuláció Firebase, mint parancsnoki és irányító infrastruktúra (C2) és további konfigurációk dinamikus letöltése, miután az alkalmazás telepítve van az áldozat eszközére.

Az alkalmazások mögött álló fejlesztő az „Android Utility Developer” álnéven működött, és még elérhetőségi e-mail címeket is megadott, hogy észrevétlen maradjon. A kutatók riasztását követően a Google nemcsak az összes fertőzött alkalmazást eltávolította az áruházából, hanem letiltotta a kapcsolódó Firebase projekteket is, ezzel elvágva a kommunikációs csatornát a feltört eszközök és a kiberbűnözők szerverei között.

Hogyan viselkedik a KosPy, miután megfertőzte az eszközt?

A KosPy-t övező fő aggodalmak az általa gyűjthető adatok széles skálája és a kinyerési módszereinek kifinomultsága. Amikor megnyitsz egy ilyen hamis alkalmazást, a KosPy elindul a háttérben, beágyazza a rosszindulatú kódját, hogy észrevétlen maradjon, és magasabb szintű hozzáférési engedélyeket kér.

A kémprogramok legfontosabb technikai képességei közé tartoznak:

  • SMS üzenetek olvasása és kiszivárogtatása.
  • megszerzése hívásnaplók és névjegyek.
  • GPS helymeghatározás, valós idejű felhasználókövetés.
  • Bekapcsolva a telefonon helyben tárolt fájlok és mappák.
  • Felvétele környezeti hang mikrofon használata és fényképezés a kamerán keresztül.
  • Elfogása képernyőképek és képernyőfelvételek, szó szerint mindent kémkedik, amit a mobilon megnéznek vagy csinálnak.
  • Billentyűleütések és alkalmazáshasználat naplózása akadálymentesítési szolgáltatások kihasználásával, ami lehetővé teheti a jelszavak és hitelesítő adatok lehallgatását.
  • Információk szerzése a következőről: Az eszközhöz csatlakozó WiFi-hálózatok és a telepített alkalmazások listája.

Az adatokat titkosítva (egy előre meghatározott AES algoritmus segítségével) továbbítják az észak-koreai hackerek által ellenőrzött C2 szerverekre, ami megnehezíti a hagyományos felderítéssel az információszivárgás azonosítását.

Kire célzott a KosPy?

Bár a KosPy világszerte elterjedt, a legtöbb támadás a koreai és angol nyelvű felhasználókat célozta meg.. Az alkalmazások nyelve és a kért engedélyek voltak az egyik olyan támpont, amelyet a potenciális áldozatok kiszűrésére használtak, akik egyértelműen Dél-Koreát és az angol nyelvű országokat célozták meg. Az elemzések azonban más régiókban, többek között Japánban, Vietnámban, Oroszországban, Nepálban, Kínában, Indiában, Kuvaitban, Romániában és számos közel-keleti államban előforduló fertőzéseket is részletezik.

Ez egy stratégiai érdek nemzetközi szintenakár a releváns személyes adatokhoz való hozzáférés, akár politikai, üzleti vagy technológiai mozgalmak kémkedése céljából.

Az Airtag segítségével kémkedhet Android-mobilon
Kapcsolódó cikk:
Az Airtag segítségével kémkedhet Android-mobilon

Kampányfejlődés és a Google reakciója

A KosPy első dokumentált mozgása 2022 márciusára nyúlik vissza, bár a legutóbbi mintákat a tavalyi év elejére vezették vissza.. A Google és a Lookout szerint, miután a rosszindulatú program létezését megerősítették, az összes kapcsolódó alkalmazást eltávolították a Play Áruházból. Ezenkívül a Google Play Protect jelenleg blokkolja az ismert KosPy-variánsok telepítését, még akkor is, ha azokat a hivatalos áruházon kívülről töltötték le.

Azonban, Nincsenek nyilvános adatok arról, hogy hány letöltés történt a kivonulás előtt, vagy hogy hány variáns kerülhetett észrevétlenül forgalomba.. Ezért ajánlott aktívan figyelni az alkalmazásengedélyeket, valamint az Androidot és az összes alkalmazást naprakészen tartani a legújabb biztonsági verziókkal.

Kapcsolat a KosPy, a ScarCruft (APT37), a Kimsuky (APT43) és az észak-koreai hírszerzés között

A KosPy észak-koreai állami kiberkémkedésnek tulajdonítását számos technikai és infrastrukturális részlet támasztja alá:

  • A felhasznált infrastruktúrát (IP-címek és domainek a C2 szerverekhez) legalább 2019 óta használták Észak-Koreához köthető korábbi támadásokban.
  • A rosszindulatú alkalmazások technikákat, taktikákat és eljárásokat (TTP-ket) osztanak meg a ScarCruft/APT37 kampányokkal.
  • A kód és az infrastruktúra egy részét a Kimsuky/APT43-hoz is kapcsolták, ami a két csoport közötti lehetséges együttműködésre vagy erőforrás-megosztásra utal.
  • A nyelv, a regionális fókusz és az ellopott információk típusa összhangban van az észak-koreai hírszerzéshez hagyományosan kapcsolódó érdekekkel.

Az észak-koreai APT-csoportok módszereinek és céljainak ez az átfedése néha azt jelenti, hogy egy adott támadás hozzárendelése nem 100%-ban pontos, de a forrás egyértelmű a biztonsági szakértők számára.

A legrelevánsabb fertőzött alkalmazások listája

Ha kérdései vannak az Android-eszközére telepített alkalmazásokkal kapcsolatban, tekintse meg ezeket a neveket, amelyeket a Lookout jelentései megerősítettek és a média is beszámolt:

  • 휴대폰 관리자 (Telefonkezelő)
  • File Manager
  • 스마트 관리자 (Smart Manager)
  • Kakao Security
  • Szoftverfrissítő segédprogram

Ezeket az alkalmazásokat mind a Google Play Áruház mint a platformokon alternatívák letöltése, például az APKPure. Ha ezek bármelyikét felfedezi az eszközén, azonnal törölje az alkalmazást, és változtassa meg az összes jelszót. Ezenkívül futtasson biztonsági vizsgálatot egy megbízható alkalmazással.

Kapcsolódó cikk:
XNSPY, a legjobb kémszoftver az okostelefonhoz

Milyen információkat lopott el a KosPy, és hogyan tette?

A KosPy által gyűjtött adatok mennyisége és a hozzáférés szintje messze meghaladja a mobil kártevőkre jellemző szintet. A kinyert információk között szerepel:

  • Szöveges üzenetek (SMS és esetleg más üzenetküldő szolgáltatások)
  • A hívásnaplók teljes részletei: számok, időtartam, időpont és dátum
  • A mobil helyzetének koordinátái valós időben
  • Dokumentumok, képek és fájlok a belső tárolóból
  • A mikrofonból rögzített hangok: beszélgetések, hangulat stb.
  • A háttérben aktív kamera mellett készített fotók
  • Képernyőképek és felvételek, amelyek lehetővé teszik, hogy mindent lásson, amit a felhasználó megtekintett vagy begépelt
  • Billentyűzetfigyelés az akadálymentesítési engedélyekkel való visszaéléshez
  • Wi-Fi hálózati információk és a telepített alkalmazások listája

Ezen túlmenően, Mindezeket az információkat titkosítva küldték el a parancsnoki és irányító (C2) szerverekre védett csatornákon keresztül., ami megnehezítette a hagyományos víruskereső eszközökkel való észlelést.

Legfontosabb tippek a KosPy-hoz hasonló csapdák elkerülésére

A KosPy felfedezése után megkérdezett szakértők és elemzők fokozott óvatosságot javasolnak, mivel még a kizárólag a Google Play Áruházból telepített alkalmazások sem garantálják a teljes biztonságot. Tippek a következők:

  • Mindig ellenőrizd az alkalmazások értékeléseit és véleményeit, és légy óvatos azokkal, amelyekhez kevés hozzászólás vagy negatív értékelés tartozik.
  • Ellenőrizd a fejlesztő nevét, keress további információkat róla, és nézd meg, hogy megbízható és elismert entitás-e.
  • Figyelj a letöltések számára: ha az alkalmazás új, vagy nagyon alacsony a letöltési aránya, légy különösen óvatos.
  • Győződjön meg róla, hogy az operációs rendszere és az alkalmazásai mindig naprakészek, mivel a legtöbb biztonsági rést hivatalos javítások javítják.
  • Csak a legszükségesebb engedélyeket add meg minden alkalmazásnak. Ha egy fájlkezelő alkalmazás hozzáférést kér a mikrofonhoz vagy a kamerához, az riasztásra ad okot.
  • Ha a fertőzött alkalmazások bármelyike ​​telepítve van a számítógépén, azonnal távolítsa el azokat, változtassa meg jelszavát, és végezzen teljes biztonsági ellenőrzést.
  • Fontolja meg egy megbízható mobil biztonsági megoldás telepítését a védelem szintjének növelése és a folyamatos felügyelet érdekében.

A globális válasz és a jelenlegi helyzet

A KosPy széles körű médiavisszhangját és a Lookout által vezetett nyomozást követően a Google megerősítette ellenőrzéseit és a Play Protect rendszerét, blokkolva és eltávolítva a kémprogram összes ismert változatát. Továbbá a kiberbiztonsági vállalatok és a technológiai óriások közötti nemzetközi együttműködés kulcsfontosságú ahhoz, hogy ezeket a fenyegetéseket még azelőtt semlegesítsék, mielőtt azok széles körben elterjedtek volna.

A KosPy eltávolítása óta nem merültek fel új tömeges fertőzési esetek a Google Play Áruházon keresztül, bár elengedhetetlen az éberség, mivel a támadók folyamatosan fejlesztik a technikáikat.

A KosPy felfedezése rávilágított a digitális kémkedés egyre kifinomultabb jellegére az Android ökoszisztémában, és azt mutatja, hogy senki sem mentes az áldozattá válástól. Az állami szereplők és a ScarCrufthoz és a Kimsukyhoz hasonló hackercsoportok együttműködése, a hivatalos áruházak kihasználása, valamint a látszólag ártalmatlan alkalmazásoknak álcázási képessége rávilágít a digitális védelem proaktív megközelítésének fontosságára.

Hogyan lehet az Androidot kémkamerává alakítani
Kapcsolódó cikk:
Hogyan lehet az Androidot kémkamerává alakítani

Az aktív monitorozás, az engedélyek kritikus elemzése és a folyamatos frissítés a legjobb akadályok e fenyegetések ellen. Oszd meg az információt, hogy más felhasználók is értesüljenek a hírről..


Kövessen minket a Google Hírekben