Хакери КНДР завантажили в Google Play шпигунське ПЗ, яке збирало паролі та записувало аудіо

Група хакерів, пов’язана з режимом Північної Кореї, завантажила шпигунське програмне забезпечення (ПЗ) для Android у магазин Google Play. Хакери змогли обманом змусити деяких користувачів завантажити його, повідомляє “Межа” з посиланням на TechCrunch.

Компанія з кібербезпеки Lookout опублікувала звіт, у якому детально описала кампанію, що використовувала шпигунське ПЗ для Android, яке отримало назву KoSpy. Lookout приписує цю операцію уряду Північної Кореї.

Як зазначає видання, один з цих додатків був доступний у Google Play і завантажений понад 10 разів. KoSpy збирає багато чутливої інформації, зокрема SMS-повідомлення, журнали дзвінків, файли на пристрої, паролі та дані Wi-Fi мережі. Крім того, ПЗ може записувати аудіо, робити фотографії та скриншот екрана.

Lookout повідомляє, що KoSpy використовує Firestore для завантаження налаштувань із хмарної бази даних на інфраструктурі Google Cloud. Пізніше Google видалила всі виявлені додатки з магазину та деактивувала проєкти Firebase, включно з KoSpy. Представник Google зазначив, що Google Play автоматично захищає користувачів від відомих версій цього шкідливого ПЗ.

Lookout також виявила шпигунські застосунки в сторонньому магазині APKPure, хоча представники APKPure заявили, що не отримували повідомлень від Lookout. За словами Lookout, кампанія була спрямована на конкретних осіб, ймовірно на жителів Південної Кореї, які говорять англійською або корейською.

Аналіз Lookout виявив, що деякі застосунки використовують доменні імена та IP-адреси, раніше пов’язані з інфраструктурою хакерських груп APT37 та APT43, які мають зв’язки з урядом Північної Кореї.

Як повідомляв ІМІ, північнокорейські хакери вкрали понад $3 мільярди в криптовалюті з 2017 року, з яких від $630 млн до $1 млрд було викрадено протягом 2023 року. Ці вкрадені кошти фінансують понад половину ядерних і ракетних програм Північної Кореї.