„KosPy“: viskas apie Šiaurės Korėjos šnipinėjimo programą, kuri atakavo „Android“ visame pasaulyje

  • „KosPy“ yra pažangi šnipinėjimo programa, platinama per apgaulingas programas „Google Play“ parduotuvėje ir alternatyviose parduotuvėse.
  • Kenkėjiška programa buvo susieta su Šiaurės Korėjos valstybinėmis kibernetinio šnipinėjimo grupuotėmis, tokiomis kaip APT37 („ScarCruft“) ir APT43 („Kimsuky“).
  • Jis išgavo asmeninius duomenis, žinutes, skambučius ir vietos nustatymo duomenis, valdė svarbiausias telefono funkcijas ir buvo pašalintas gavus „Lookout“ ekspertų įspėjimą.
Joaquin Romero

9 minučių

Sužinokite viską apie „KosPy“ – Šiaurės Korėjos šnipinėjimo programą.

„Android“ įrenginių saugumas vėl atsidūrė dėmesio centre po to, kai buvo aptikta sudėtinga skaitmeninio šnipinėjimo kampanija, suorganizuota iš Šiaurės Korėjos. Šio painio siužeto pagrindinis veikėjas yra „KosPy“ – šnipinėjimo programa, kuri, prisidengusi teisėtomis programomis, sugebėjo užkrėsti tūkstančius mobiliųjų telefonų visame pasaulyje, rinkdama asmeninius ir konfidencialius duomenis iš įvairių šalių vartotojų. Šiame išsamiame straipsnyje aptarsime viską, ką žinome apie „KosPy“ – nuo ​​jo kilmės, platinimo būdo ir techninių galimybių iki priemonių, kurių imtasi siekiant sustabdyti jo plitimą, taip pat pateiksime naudingų rekomendacijų, kaip apsisaugoti nuo panašių grėsmių ateityje.

Jei kada nors atsisiuntėte programėlę, skirtą tvarkyti failus arba pagerinti „Android“ saugumą iš tokių parduotuvių kaip „Google Play“ parduotuvė ar alternatyvios platformos, tai jus labai domina. Apžvelkime, kaip ši šnipinėjimo programa apėjo saugumo kontrolę, kokio tipo informaciją ji sugebėjo rinkti, kodėl ji laikoma grėsme, susijusia su Šiaurės Korėjos žvalgyba, ir kaip pastebėti įspėjamuosius ženklus, kol dar ne per vėlu.

Kas yra „KosPy“ ir kas už jo slypi?

„KosPy“ yra šnipinėjimo programa, aptikta „Android“ įrenginiuose ir tiesiogiai susijusi su Šiaurės Korėjos valstybės remiamomis kibernetinio šnipinėjimo grupuotėmis. Jos egzistavimą užfiksavo „Lookout“ komanda – kibernetinio saugumo įmonė, kuri specializuojasi mobiliųjų įrenginių grėsmių srityje, – kuri aptiko, kad ši kenkėjiška programa buvo talpinama iš pažiūros nekenksmingose ​​programose, prieinamose tiek „Google Play“ parduotuvėje, tiek trečiųjų šalių programėlių parduotuvėse, tokiose kaip „APKPure“.

Kaip siųsti tiesiogines nuotraukas „WhatsApp“.
Susijęs straipsnis:
WhatsApp įspėja apie šnipinėjimo programas, kurios kenkia mobiliojo ryšio saugumui

„KosPy“ pirmiausia priskiriamas grupei, žinomai kaip APT37 arba „ScarCruft“, plačiai žinoma dėl daugiau nei dešimtmetį vykdytų kibernetinio šnipinėjimo operacijų, susijusių su Šiaurės Korėjos vyriausybe. Ne tik tai: „KosPy“ naudojama skaitmeninė infrastruktūra yra susijusi su kita garsia grupe „Kimsuky“ (APT43)., demonstruodamas tokį koordinavimo lygį ir techninius išteklius, kuriuos gali sau leisti tik valstybiniai subjektai.

Saugokitės „KosPy“ – Šiaurės Korėjos sukurtos šnipinėjimo programos

Platinimo būdai: Štai kaip „KosPy“ infiltravosi į tūkstančius androidų

„KosPy“ didžiausias išradingumas (ir pavojus) slypi jos plitimo būde, nes jai pavyko įveikti griežtą „Google“ kontrolę ir prasmukti taip, lyg tai būtų tikra programėlė.– problema, kelianti pavojų pasitikėjimui oficialiomis programėlių parduotuvėmis.

Tarp žymiausių technikų:

  • Sukčiavimo programos, užmaskuotos kaip naudingumo įrankiai (failų tvarkyklės, programinės įrangos atnaujinimo priemonės, saugumo patobulinimai ir kt.).
  • Buvimas Pagrindinės sąsajos ir pavadinimai anglų ir korėjiečių kalbomis, kuris skirtas konkrečiai auditorijai.
  • Įtraukti „KosPy“ į tokias programas kaip „«Mobiliojo telefono vadybininkas (telefono tvarkyklė)», «failų tvarkyklė«,«Išmanusis vadybininkas (išmanusis vadovas)», «Kakao apsauga („Kakao Security“)“ ir „Programinės įrangos atnaujinimo įrankis„.“ Visi jie teisėtai patvirtinti „Google Play“ parduotuvėje ir netgi pakartoti „APKPure“.
  • Platformos manipuliavimas „Firebase“ kaip valdymo ir kontrolės infrastruktūra (C2) ir dinamiškai atsisiųsti papildomas konfigūracijas, kai programėlė įdiegiama aukos įrenginyje.

Šių programėlių kūrėjas veikė pseudonimu „Android Utility Developer“ ir netgi pateikė kontaktinius el. pašto adresus, kad liktų nepastebėtas. Po tyrėjų įspėjimo „Google“ ne tik pašalino visas užkrėstas programas iš savo parduotuvės, bet ir išjungė susijusius „Firebase“ projektus, taip nutraukdama ryšio kanalą tarp pažeistų įrenginių ir kibernetinių nusikaltėlių serverių.

Kaip „KosPy“ elgiasi užkrėtusi įrenginį?

Pagrindiniai „KosPy“ keliami rūpesčiai yra platus duomenų, kuriuos jis gali surinkti, spektras ir jo išgavimo metodų sudėtingumas. Atidarius vieną iš šių netikrų programėlių, „KosPy“ paleidžiama fone, įterpiant kenkėjišką kodą, kad liktų neaptikta, ir prašont padidintų prieigos leidimų.

Tarp svarbiausių šnipinėjimo programų techninių galimybių yra šios:

  • SMS žinučių skaitymas ir ištrynimas.
  • gavimas skambučių žurnalai ir kontaktai.
  • GPS vietos stebėjimas, vartotojų stebėjimas realiuoju laiku.
  • Prieiga prie telefone lokaliai saugomi failai ir aplankai.
  • Įrašymas iš aplinkos garsas naudojant mikrofoną ir fotografuojant per kamerą.
  • Užfiksuoti ekrano kopijos ir ekrano įrašai, tiesiogine prasme šnipinėdamas viską, kas peržiūrima ar daroma mobiliajame telefone.
  • Klavišų paspaudimų ir programėlių naudojimo registravimas naudojantis pritaikymo neįgaliesiems paslaugomis, o tai gali leisti perimti slaptažodžius ir prisijungimo duomenis.
  • Informacijos apie gavimą „Wi-Fi“ tinklai, prie kurių įrenginys prisijungia ir įdiegtų programų sąrašas.

Duomenys perduodami užšifruoti (naudojant iš anksto nustatytą AES algoritmą) į Šiaurės Korėjos įsilaužėlių kontroliuojamus C2 serverius, todėl įprastiniais metodais sunku nustatyti informacijos nutekėjimą.

Į ką KosPy taikėsi?

Nors „KosPy“ išplito visame pasaulyje, dauguma atakų buvo nukreiptos prieš korėjiečių ir anglų kalbomis kalbančius vartotojus.. Programėlių kalba ir prašomi leidimai buvo viena iš užuominų, naudotų siekiant atfiltruoti potencialias aukas, kurios akivaizdžiai taikėsi į Pietų Korėją ir anglakalbes šalis. Tačiau analizėse taip pat išsamiai aprašomi užsikrėtimo atvejai kituose regionuose, įskaitant Japoniją, Vietnamą, Rusiją, Nepalą, Kiniją, Indiją, Kuveitą, Rumuniją ir kelias Artimųjų Rytų valstybes.

Tai rodo strateginis interesas tarptautiniu lygmeniu, siekiant gauti prieigą prie svarbios asmeninės informacijos arba šnipinėti politinius, verslo ar technologinius judėjimus.

Norėdami šnipinėti „Android“ mobilųjį telefoną, naudokite „Airtag“.
Susijęs straipsnis:
Norėdami šnipinėti „Android“ mobilųjį telefoną, naudokite „Airtag“.

Kampanijos evoliucija ir „Google“ reakcija

Pirmasis dokumentuotas „KosPy“ judėjimas užfiksuotas 2022 m. kovo mėn., nors naujausi pavyzdžiai buvo aptikti dar praėjusių metų pradžioje.. „Google“ ir „Lookout“ teigimu, patvirtinus kenkėjiškos programos egzistavimą, visos susijusios programėlės buvo pašalintos iš „Play Store“. Be to, „Google Play Protect“ šiuo metu blokuoja žinomų „KosPy“ variantų diegimą, net jei jie atsisiųsti ne iš oficialios parduotuvės.

Tačiau Nėra viešų duomenų apie tai, kiek atsisiuntimų įvyko iki pasitraukimo ar kiek variantų galėjo būti išplitę nepastebėti.. Todėl rekomenduojama aktyviai stebėti programų leidimus, taip pat atnaujinti „Android“ ir visas programas su naujausiomis saugos versijomis.

„KosPy“, „ScarCruft“ (APT37), „Kimsuky“ (APT43) ir Šiaurės Korėjos žvalgybos ryšys

„KosPy“ priskyrimą Šiaurės Korėjos valstybės kibernetiniam šnipinėjimui patvirtina kelios techninės ir infrastruktūros detalės:

  • Naudota infrastruktūra (IP adresai ir C2 serverių domenai) buvo naudojama ankstesniuose Šiaurės Korėjai priskiriamuose išpuoliuose mažiausiai nuo 2019 m.
  • Kenkėjiškos programos dalijasi metodais, taktika ir procedūromis (TTP) su „ScarCruft“ / APT37 kampanijomis.
  • Dalis kodo ir infrastruktūros taip pat buvo susieta su „Kimsuky“ / APT43, o tai rodo galimą bendradarbiavimą ar išteklių dalijimąsi tarp šių dviejų grupių.
  • Kalba, regioninis dėmesys ir pavogtos informacijos tipas atitinka interesus, tradiciškai siejamus su Šiaurės Korėjos žvalgyba.

Dėl Šiaurės Korėjos APT grupuočių metodų ir tikslų sutapimo kartais konkretaus išpuolio priskyrimas nėra 100 % tikslus, tačiau saugumo ekspertams šaltinis yra aiškus.

Labiausiai užkrėstų programų sąrašas

Jei turite klausimų apie programas, kurias įdiegėte „Android“ įrenginyje, peržiūrėkite šiuos pavadinimus, kurie buvo patvirtinti „Lookout“ ataskaitose ir apie kuriuos pranešė žiniasklaida:

  • 휴대폰 관리자 (telefono vadybininkas)
  • failų tvarkyklė
  • 스마트 관리자 (Smart Manager)
  • Kakao apsauga
  • Programinės įrangos atnaujinimo įrankis

Šios programėlės buvo platinamos tiek "Google Play parduotuvė kaip ir platformose atsisiųsti alternatyvas, pvz., „APKPure“. Jei savo įrenginyje aptikote kurį nors iš jų, nedelsdami ištrinkite programėlę ir pakeiskite visus slaptažodžius. Taip pat atlikite saugumo nuskaitymą naudodami patikimą programėlę.

Susijęs straipsnis:
„XNSPY“ - geriausia šnipinėjimo programinė įranga jūsų išmaniajam telefonui

Kokią informaciją pavogė „KosPy“ ir kaip tai padarė?

„KosPy“ surinktų duomenų prieigos lygis ir apimtis gerokai viršija tai, kas būdinga įprastoms mobiliųjų įrenginių kenkėjiškoms programoms. Tarp išgautos informacijos yra:

  • Tekstinės žinutės (SMS ir galbūt kitos pranešimų siuntimo paslaugos)
  • Išsami skambučių žurnalų informacija: numeriai, trukmė, laikas ir data
  • Mobiliojo telefono padėties koordinatės realiuoju laiku
  • Dokumentai, vaizdai ir failai iš vidinės atminties
  • Iš mikrofono girdimi garsai: pokalbiai, atmosfera ir kt.
  • Nuotraukos, padarytos, kai kamera buvo įjungta fone
  • Ekrano kopijos ir įrašai, leidžiantys matyti viską, ką vartotojas peržiūrėjo ar įvedė
  • Klaviatūros paspaudimų stebėjimas piktnaudžiaujant prieinamumo leidimais
  • „Wi-Fi“ tinklo informacija ir įdiegtų programų sąrašas

Be to, Visa ši informacija buvo užšifruota ir išsiųsta į valdymo ir kontrolės (C2) serverius per apsaugotus kanalus., todėl jį buvo sunku aptikti naudojant tradicines antivirusines priemones.

Svarbiausi patarimai, kaip nepakliūti į tokius spąstus kaip „KosPy“

Ekspertai ir analitikai, su kuriais buvo konsultuojamasi atradus „KosPy“, rekomenduoja būti itin atsargiems, nes net ir programų diegimas vien iš „Google Play“ parduotuvės negarantuoja absoliutaus saugumo. Patarimai apima:

  • Visada patikrinkite programėlių apžvalgas ir įvertinimus ir būkite atsargūs su tomis, kuriose yra mažai komentarų arba neigiamų įvertinimų.
  • Patikrinkite kūrėjo pavadinimą, ieškokite papildomos informacijos apie jį ir patikrinkite, ar tai patikimas ir pripažintas subjektas.
  • Atkreipkite dėmesį į atsisiuntimų skaičių: jei programėlė nauja arba jos atsisiuntimų skaičius labai mažas, būkite ypač atsargūs.
  • Įsitikinkite, kad jūsų operacinė sistema ir programos visada yra atnaujintos, nes dauguma saugumo spragų yra ištaisomos oficialiais pataisymais.
  • Suteikite kiekvienai programai tik būtiniausius leidimus. Jei failų tvarkymo programa prašo prieigos prie mikrofono arba kameros, tai kelia nerimą.
  • Jei turite įdiegtą kurią nors iš nustatytų užkrėstų programų, nedelsdami jas pašalinkite, pakeiskite slaptažodžius ir atlikite išsamų saugumo patikrinimą.
  • Apsvarstykite galimybę įdiegti patikimą mobiliojo ryšio saugos sprendimą, kad padidintumėte apsaugos lygį ir nuolatinį stebėjimą.

Pasaulinis atsakas ir dabartinė padėtis

Po plataus žiniasklaidos dėmesio apie „KosPy“ ir „Lookout“ atlikto tyrimo „Google“ sustiprino savo kontrolę ir „Play Protect“ sistemą, blokuodama ir pašalindama visus žinomus šios šnipinėjimo programos variantus. Be to, tarptautinis kibernetinio saugumo įmonių ir technologijų gigantų bendradarbiavimas yra labai svarbus norint neutralizuoti šias grėsmes, kol jos dar netapo plačiai paplitusios.

Nuo „KosPy“ pašalinimo naujų masinio užkrėtimo per „Google Play“ parduotuvę atvejų nepastebėta, nors būtina išlikti budriems, nes užpuolikai nuolat tobulina savo metodus.

„KosPy“ atradimas išryškino augantį skaitmeninio šnipinėjimo sudėtingumą „Android“ ekosistemoje ir parodė, kad niekas nėra apsaugotas nuo tapimo auka. Valstybinių veikėjų ir įsilaužėlių grupių, tokių kaip „ScarCruft“ ir „Kimsuky“, bendradarbiavimas, oficialių parduotuvių išnaudojimas ir galimybė paslėpti save kaip iš pažiūros nekenksmingas programas pabrėžia aktyvaus požiūrio į skaitmeninę apsaugą svarbą.

Kaip paversti „Android“ šnipo kamera
Susijęs straipsnis:
Kaip paversti „Android“ šnipo kamera

Aktyvus stebėjimas, kritinė leidimų analizė ir nuolatinis atnaujinimas yra geriausios kliūtys šioms grėsmėms. Pasidalinkite informacija, kad kiti vartotojai žinotų naujienas..


Sekite mus „Google“ naujienose