Vpn11349

新型Android间谍软件KoSpy的曝光

关键要点

  • KoSpy :由朝鲜赞助的APT37黑客组织开发的Android间谍软件,能够收集短信、通话记录和位置信息。
  • 传播方式 :该恶意软件通过伪装成“文件管理器”和“软件更新工具”的应用程序传播,并已在谷歌Play商店和第三方应用商店下架。
  • 主要功能 :能记录音频、拍摄照片、捕获屏幕和记录键入内容,并通过动态加载插件从受害者设备收集信息。
  • 针对目标 :主要针对讲韩语和英语的用户,活跃于多个国家和地区。

一款被认为源自朝鲜国家赞助的APT37组织的Android间谍软件新近被曝光,它名为“KoSpy”。该软件能够通过动态加载的插件收集短信、通话记录和用户位置信息。LookoutThreat Lab的研究人员发现了这一恶意软件并在中进行了详细说明。

这款间谍软件通过伪装成“文件管理器”和“软件更新工具”的应用程序进行传播,主要针对讲韩语和英语的用户。尽管早前可在谷歌Play商店下载,但这些恶意应用程序已经被谷歌下架。根据Lookout的报告,这些应用程序也通过第三方应用商店,如Apkpure等进行传播。

用户安装并打开这些应用后,通常会看到一个简单的界面,例如一个图形化的文件管理器,或者被重定向到用户手机的内部系统工具。

在此期间,KoSpy会从FirebaseFirestore加载配置文件,其中包含命令与控制(C2)服务器地址及间谍软件的“开/关”开关。谷歌如今已经停用了与这一活动相关的Firebase项目。

一旦建立C2连接,并且KoSpy确认设备不是模拟器,该恶意软件会通过HTTP POST请求下载插件和其他配置,来增强其监视功能。

功能描述
收集信息收集短信、通话记录、设备位置信息、存储文件与文件夹、WiFi网络详情以及已安装应用程序的列表
媒体录制录音、拍摄照片、截屏和视频录制
键入记录利用内置可访问性功能记录用户的键入内容

此外,这款间谍软件的数据在发送到攻击者的C2服务器之前,会使用硬编码的AES密钥进行加密。

Lookout确定了与KoSpy活动相关的五个C2服务器和Firebase项目。对这些C2服务器域名相关的IP地址进行分析时,发现了该间谍软件与朝鲜支持的网络间谍组织APT37(又称StarCruft)之间的联系。与APT37有关的域名曾参与到部署Konni桌面恶意软件的攻击中。然而,Lookout也发现这些域名与另一个臭名昭著的朝鲜国家网络威胁组织APT43(即Kimsuky)有关联。

最终,Lookout以中等信心评估KoSpy的起源来自APT37,并认为APT37和APT43可能使用共享基础设施。

APT37自2012年以来一直活跃,主要针对韩国用户,尽管它也在日本、越南、俄罗斯、尼泊尔、中国、印度、罗马尼亚、科威特和中东地区展开行动。

KoSpy被认为自2022年3月以来存在,最新样本取得于2024年3月。

Leave a Reply

Required fields are marked *