A Lookout a raportat miercuri că mai multe variante diferite ale unui KoSpy spyware care poate fi folosit pentru a spiona pe toți Magazinul Google Play disponibil pe fiecare smartphone Android.
Compania susține cu mare certitudine că programul este legat de guvernul nord-coreean.
Conform Lookout. KoSpy colectează o cantitate semnificativă de informații sensibile de la dispozitivele infectate. Acesta poate accesa, printre altele
- mesajele SMS și jurnalele de apeluri,
- date de localizare,
- fișiere,
- la texte tastate de utilizatori,
- sau chiar date din rețeaua Wi-Fi.
În plus, aplicația malițioasă poate, de asemenea, să înregistreze audio, să facă fotografii și să captureze capturi de ecran de pe dispozitivul afectat.
A Ed Fernandez, purtător de cuvânt al Google a confirmat că aplicațiile identificate au fost eliminate din Play Store, iar proiectele Firebase asociate au fost, de asemenea, dezactivate, aceasta fiind în esență una dintre cele mai utilizate platforme de dezvoltare pentru aplicațiile Google.
Compania spune că Google Play protejează automat utilizatorii de variantele cunoscute ale malware-ului pe dispozitivele Android.
Experții Lookout spun că, deși nu știu exact cine ar fi putut fi ținta atacatorilor, sunt convinși că este a fost o campanie foarte bine țintită, probabil că a vizat vorbitori de limbă sud-coreeană, engleză sau coreeană. Această afirmație este susținută de denumirile aplicațiilor și de natura bilingvă a interfeței cu utilizatorul.
Cercetătorii au constatat, de asemenea, că spyware-ul folosea nume de domenii și adrese IP care fuseseră identificate anterior de grupul de hackeri al guvernului nord-coreean, the APT37 și APT43.
Hackeri legați de Coreea de Nord au ajuns recent la știri prin deturnarea Ethereum în valoare de aproximativ 1,4 miliarde de dolari de la bursa de criptomonede Bybit, provocând o scădere semnificativă a pieței criptomonedelor.
Imaginea de copertă este o ilustrație. Sursa imaginii de copertă: Getty Images
