‘Kospy’ adlı yeni bir Android casus yazılım, Google Play ve üçüncü taraf App Store Apkpure’u en az beş kötü amaçlı uygulamadan sızmış olan Kuzey Kore tehdit aktörleriyle bağlantılıdır.
Lookout araştırmacılarına göre, casus yazılım APT37’ye (aka ‘Scarcruft’) Kuzey Kore tehdit grubuna atfedilir. Kampanya, Mart 2022’den bu yana aktif, tehdit aktörleri daha yeni örneklere dayalı kötü amaçlı yazılımları aktif olarak geliştiriyor.
Casus yazılım kampanyası öncelikle Koreli ve İngilizce konuşan kullanıcıları dosya yöneticileri, güvenlik araçları ve yazılım güncelleyicileri olarak gizleyerek hedefliyor.
Tanımlanan beş uygulama Telefon yöneticisi– Dosya Yöneticisi (com.file.exploer)– Akıllı yönetici– Kakao GüvenliğiVe Yazılım Güncelleme Yardımcı Programı.
Kaynak: Gözetleme
Kötü amaçlı uygulamalar vaat edilen işlevlerin en azından bir kısmını sunar, ancak Kospy casus yazılımlarını arka plana yükler.
Tek istisna, riskli izinlere erişim isterken yalnızca sahte bir sistem penceresi görüntüleyen Kakao Security’dir.
Kaynak: Gözetleme
Kampanya, daha önce Kuzey Kore operasyonlarına bağlı IP adreslerine, Koni kötü amaçlı yazılımların dağılımını kolaylaştıran alanlar ve başka bir DPR tarafından desteklenen tehdit grubu olan APT43 ile örtüşen altyapıya dayanarak APT37’ye atfedildi.
Kospy Detayları
Cihazda etkin olduktan sonra Kospy, algılamadan kaçınmak için bir Firebase Firestore veritabanından şifreli bir yapılandırma dosyasını alır.
Ardından, gerçek komut ve kontrol (C2) sunucusuna bağlanır ve bir emülatörde çalışmadığından emin olmak için kontrolleri çalıştırır. Kötü amaçlı yazılım, C2’den güncellenmiş ayarları, yürütülecek ek yükler alabilir ve bir “açık/kapama” anahtarı yoluyla dinamik olarak etkinleştirilebilir/devre dışı bırakılabilir.
Kospy’nin veri toplama özellikleri:
- SMS ve Çağrı Günlükleri Müdahalesi
- Kurbanın GPS konumunu gerçek zamanlı olarak izler
- Yerel depolamadan dosyaları okur ve dışarı atar
- Sesi kaydetmek için cihazın mikrofonunu kullanır
- Fotoğraflar ve videolar çekmek için cihazın kamerasını kullanır
- Cihaz ekranının ekran görüntülerini yakalar
- Android Erişilebilirlik Hizmetleri aracılığıyla tuş vuruşlarını kaydeder
Her uygulama, iletimden önce sert kodlanmış bir AES tuşu ile şifrelenmiş veri eksfiltrasyonu için ayrı bir Firebase projesi ve C2 sunucusu kullanır.
Casus yazılım uygulamaları artık hem Google Play hem de ApkPure’den kaldırılmış olsa da, kullanıcıların bunları manuel olarak kaldırmaları ve enfeksiyonun kalıntılarını cihazlarından kökünden sökmek için güvenlik araçlarıyla taramaları gerekecektir. Kritik durumlarda, bir fabrika sıfırlaması önerilir.
Google Play Protect, bilinen kötü amaçlı uygulamaları da engelleyebilir, bu nedenle güncel Android cihazlarda etkinleştirmek Kospy’ye karşı korunmaya yardımcı olabilir.
Bir Google sözcüsü, BleepingComputer’a Lookout tarafından tanımlanan tüm Kospy uygulamalarının Google Play’den kaldırıldığını ve ilgili Firebase projelerinin de kaldırıldığını doğruladı.
Google, “Bölgesel dilin kullanımı, bunun hedeflenen kötü amaçlı yazılım olarak tasarlandığını gösteriyor. Herhangi bir kullanıcı kurulumundan önce, Mart 2024’te keşfedilen en son kötü amaçlı yazılım örneği Google Play’den kaldırıldı.”
“Google Play Protect, uygulamalar oyun dışındaki kaynaklardan gelse bile, Android kullanıcılarını Google Play hizmetlerine sahip cihazlarda bu kötü amaçlı yazılımların bilinen sürümlerinden otomatik olarak korur.”
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.