KosPy: Lahat ng tungkol sa North Korean spyware na umatake sa Android sa buong mundo

  • Ang KosPy ay isang advanced na spyware na ipinamahagi sa pamamagitan ng mga mapanlinlang na app sa Google Play Store at mga alternatibong tindahan.
  • Ang malware ay na-link sa North Korean state-run cyber-espionage group gaya ng APT37 (ScarCruft) at APT43 (Kimsuky).
  • Inalis nito ang personal na data, mga mensahe, tawag, at lokasyon, at kinokontrol ang mga kritikal na function ng telepono, at inalis pagkatapos ng alerto mula sa mga eksperto sa Lookout.
Joaquin Romero

9 Minutos

Alamin ang lahat tungkol sa KosPy, ang North Korean spyware.

Bumalik sa spotlight ang seguridad ng Android device pagkatapos matukoy ang isang sopistikadong digital espionage campaign na inayos mula sa North Korea. Ang bida ng masalimuot na balangkas na ito ay ang KosPy, isang spyware na, disguised bilang mga lehitimong application, ay nagawang makahawa sa libu-libong mga mobile phone sa buong mundo, nangongolekta ng personal at kumpidensyal na data mula sa mga user sa iba't ibang bansa. Sa malawak na artikulong ito, sisirain namin ang lahat ng alam namin tungkol sa KosPy, mula sa pinagmulan nito, paraan ng pamamahagi, at mga teknikal na kakayahan hanggang sa mga hakbang na ginawa upang ihinto ang pagkalat nito, kasama ang mga kapaki-pakinabang na rekomendasyon para sa pagprotekta sa iyong sarili laban sa mga katulad na banta sa hinaharap.

Kung nag-download ka na ng app upang pamahalaan ang iyong mga file o pagbutihin ang seguridad ng iyong Android mula sa mga tindahan tulad ng Google Play Store o mga alternatibong platform, ito ay lubos na interesado sa iyo. Suriin natin kung paano iniiwasan ng spyware na ito ang mga kontrol sa seguridad, anong uri ng impormasyon ang kaya nitong kolektahin, kung bakit ito itinuturing na banta na nauugnay sa intelihente ng North Korea, at kung paano makita ang mga palatandaan ng babala bago maging huli ang lahat.

Ano ang KosPy at sino ang nasa likod nito?

Ang KosPy ay isang spyware program na nakita sa mga Android device at direktang naka-link sa North Korean state-backed cyberespionage group. Ang pagkakaroon nito ay naidokumento ng Lookout team, isang cybersecurity firm na dalubhasa sa mga banta sa mobile device, na naka-detect na ang malware na ito ay naka-host sa tila hindi nakakapinsalang mga app na available pareho sa Google Play Store at mga third-party na app store, gaya ng APKPure.

Paano magpadala ng Live Photos sa WhatsApp
Kaugnay na artikulo:
Nagbabala ang WhatsApp tungkol sa spyware na nakompromiso ang seguridad ng mobile

Pangunahing iniuugnay ang KosPy sa isang pangkat na kilala bilang APT37 o ScarCruft, malawak na kinikilala para sa mga operasyong cyberespionage nito na naka-link sa gobyerno ng North Korea sa loob ng mahigit isang dekada. Hindi lang iyon: Ang digital na imprastraktura na ginagamit ng KosPy ay nagbabahagi ng mga koneksyon sa isa pang sikat na grupo, Kimsuky (APT43), na nagpapakita ng antas ng koordinasyon at mga teknikal na mapagkukunan na ang mga aktor ng estado lamang ang kayang bayaran.

Mag-ingat sa KosPy, ang spyware na binuo ng North Korea

Mga paraan ng pamamahagi: Ito ay kung paano napasok ng KosPy ang libu-libong mga Android

Ang mahusay na talino sa paglikha (at panganib) ng KosPy ay nakasalalay sa paraan ng pagpapalaganap nito, dahil nagawa nitong mapagtagumpayan ang mga mahigpit na kontrol ng Google at lumabas na parang ito ay isang tunay na app., isang problemang naglalagay sa panganib sa tiwala na inilagay sa mga opisyal na app store.

Kabilang sa mga pinaka-kilalang pamamaraan:

  • Mga mapanlinlang na application na itinago bilang mga tool sa utility (mga file manager, mga kagamitan sa pag-update ng software, mga pagpapahusay sa seguridad, atbp.).
  • Presensya ng Mga pangunahing interface at pamagat sa English at Korean, na nagta-target ng isang partikular na madla.
  • Kasama ang KosPy sa mga app tulad ng «Tagapamahala ng mobile phone (tagapamahala ng telepono)», «File Manager«,«Matalinong Tagapamahala (matalinong tagapamahala)», «Kakao Security (Kakao Security)» at «Software Update Utility«. Lahat sila ay lehitimong inaprubahan sa Google Play Store at ginagaya pa sa APKPure.
  • Pagmamanipula ng platform Firebase bilang command and control infrastructure (C2) at para dynamic na mag-download ng mga karagdagang configuration kapag na-install na ang app sa device ng biktima.

Ang developer sa likod ng mga app na ito ay nagpapatakbo sa ilalim ng pseudonym na "Android Utility Developer," kahit na nagbibigay ng mga contact email address upang hindi mapansin. Kasunod ng alerto ng mga mananaliksik, hindi lang inalis ng Google ang lahat ng infected na app mula sa store nito kundi hindi rin pinagana ang nauugnay na mga proyekto sa Firebase, kaya pinutol ang channel ng komunikasyon sa pagitan ng mga nakompromisong device at mga server ng cybercriminals.

Paano kumikilos ang KosPy kapag nahawaan nito ang device?

Ang mga pangunahing alalahanin sa paligid ng KosPy ay ang malawak na hanay ng data na maaari nitong kolektahin at ang pagiging sopistikado ng mga paraan ng pagkuha nito. Kapag binuksan mo ang isa sa mga pekeng app na ito, ilulunsad ang KosPy sa background, i-embed ang nakakahamak na code nito upang manatiling hindi natukoy at humihiling ng mga mataas na pahintulot sa pag-access.

Kabilang sa pinakamahalagang teknikal na kakayahan ng spyware ay:

  • Pagbasa at pag-exfiltrate ng mga mensaheng SMS.
  • pagkuha ng mga log ng tawag at mga contact.
  • Pagsubaybay sa lokasyon ng GPS, real-time na pagsubaybay ng user.
  • Pag-access sa mga file at folder na lokal na nakaimbak sa telepono.
  • Pagrekord ng ambient na audio gamit ang mikropono at pagkuha ng mga litrato sa pamamagitan ng camera.
  • Nakunan ng mga screenshot at pag-record ng screen, literal na nag-espiya sa lahat ng tinitingnan o ginagawa sa mobile.
  • Pag-log ng mga keystroke at paggamit ng app sa pamamagitan ng pagsasamantala sa mga serbisyo ng pagiging naa-access, na maaaring magpapahintulot sa pagharang ng mga password at kredensyal.
  • Pagkuha ng impormasyon tungkol sa Mga WiFi network kung saan kumokonekta ang device at listahan ng mga naka-install na application.

Ang data ay ipinapadala na naka-encrypt (gamit ang isang paunang natukoy na algorithm ng AES) sa mga C2 server na kinokontrol ng mga hacker ng North Korea, na nagpapahirap para sa kumbensyonal na pagtuklas upang matukoy ang pagtagas ng impormasyon.

Sino ang tina-target ng KosPy?

Bagama't kumalat ang KosPy sa buong mundo, karamihan sa mga pag-atake ay naka-target sa Korean at English-speaking na mga user.. Ang wika ng mga app at ang mga hiniling na pahintulot ay isa sa mga pahiwatig na ginamit upang i-filter ang mga potensyal na biktima, na malinaw na nagta-target sa South Korea at mga bansang nagsasalita ng Ingles. Gayunpaman, ang mga pagsusuri ay nagdedetalye din ng mga impeksyon sa ibang mga rehiyon, kabilang ang Japan, Vietnam, Russia, Nepal, China, India, Kuwait, Romania, at ilang estado sa Middle Eastern.

Ito ay nagpapahiwatig ng a estratehikong interes sa internasyonal na antas, para ma-access ang may-katuturang personal na impormasyon o mag-espiya sa mga kilusang pampulitika, negosyo o teknolohikal.

Gamitin ang Airtag para maniktik sa isang Android mobile
Kaugnay na artikulo:
Gamitin ang Airtag para maniktik sa isang Android mobile

Ebolusyon ng kampanya at reaksyon ng Google

Ang unang dokumentadong paggalaw ng KosPy ay nagsimula noong Marso 2022, bagama't ang pinakahuling mga sample ay na-trace pabalik sa unang bahagi ng nakaraang taon.. Ayon sa Google at Lookout, kapag nakumpirma na ang pagkakaroon ng malware, inalis ang lahat ng nauugnay na app sa Play Store. Bukod pa rito, kasalukuyang hinaharangan ng Google Play Protect ang pag-install ng mga kilalang variant ng KosPy, kahit na na-download mula sa labas ng opisyal na tindahan.

Gayunpaman, Walang pampublikong data sa kung gaano karaming mga pag-download ang naganap bago ang pag-withdraw o kung gaano karaming mga variant ang maaaring na-circulate nang hindi natukoy.. Samakatuwid, inirerekomendang aktibong subaybayan ang mga pahintulot sa app, pati na rin panatilihing na-update ang Android at lahat ng app gamit ang mga pinakabagong bersyon ng seguridad.

Relasyon sa pagitan ng KosPy, ScarCruft (APT37), Kimsuky (APT43) at North Korean intelligence

Ang pagpapatungkol ng KosPy sa cyber espionage ng estado ng North Korea ay sinusuportahan ng ilang detalye ng teknikal at imprastraktura:

  • Ang ginamit na imprastraktura (mga IP address at domain para sa mga C2 server) ay ginamit sa mga nakaraang pag-atake na na-attribute sa North Korea mula pa noong 2019.
  • Ang mga nakakahamak na application ay nagbabahagi ng mga diskarte, taktika at pamamaraan (TTP) sa mga ScarCruft/APT37 na kampanya.
  • Ang ilan sa mga code at imprastraktura ay na-link din sa Kimsuky/APT43, na nagpapahiwatig ng posibleng pakikipagtulungan o pagbabahagi ng mapagkukunan sa pagitan ng dalawang grupo.
  • Ang wika, panrehiyong pokus, at uri ng ninakaw na impormasyon ay akma sa mga interes na tradisyonal na nauugnay sa North Korean intelligence.

Ang overlap na ito sa mga pamamaraan at layunin sa mga North Korean APT group ay minsan ay nangangahulugan na ang pagpapatungkol ng isang partikular na pag-atake ay hindi 100% tumpak, ngunit ang pinagmulan ay malinaw sa mga eksperto sa seguridad.

Listahan ng mga pinaka-nauugnay na nahawaang aplikasyon

Kung mayroon kang mga tanong tungkol sa mga app na na-install mo sa iyong Android, tingnan ang mga pangalang ito, na nakumpirma sa mga ulat sa Lookout at iniulat ng media:

  • 휴대폰 관리자 (Tagapamahala ng Telepono)
  • File Manager
  • 스마트 관리자 (Smart Manager)
  • Kakao Security
  • Software Update Utility

Ang mga app na ito ay ipinamahagi pareho sa Google Store Play tulad ng sa mga platform mag-download ng mga alternatibo, gaya ng APKPure. Kung matuklasan mo ang alinman sa mga ito sa iyong device, tanggalin kaagad ang app at baguhin ang lahat ng password. Magpatakbo din ng security scan gamit ang isang kagalang-galang na app.

Kaugnay na artikulo:
XNSPY, ang pinakamahusay na spy software para sa iyong smartphone

Anong uri ng impormasyon ang ninakaw ng KosPy at paano ito ginawa?

Ang antas ng pag-access at dami ng data na nakolekta ng KosPy ay higit na lumalampas sa karaniwan para sa karaniwang mobile malware. Kabilang sa mga nakuhang impormasyon ay:

  • Mga text message (SMS at posibleng iba pang serbisyo sa pagmemensahe)
  • Buong mga detalye ng mga log ng tawag: mga numero, tagal, oras at petsa
  • Mga coordinate ng posisyon ng mobile sa real time
  • Mga dokumento, larawan at file mula sa panloob na storage
  • Mga tunog na kinuha mula sa mikropono: mga pag-uusap, ambiance, atbp.
  • Mga larawang kinunan noong na-activate ang camera sa background
  • Mga screen capture at recording, na nagbibigay-daan sa iyong makita ang lahat ng tiningnan o na-type ng user
  • Inaabuso ng keylogging ang mga pahintulot sa accessibility
  • Impormasyon sa Wi-Fi network at listahan ng mga naka-install na app

Bukod dito, Ang lahat ng impormasyong ito ay ipinadala na naka-encrypt sa mga server ng command at control (C2) sa pamamagitan ng mga protektadong channel, na nagpahirap sa pagtukoy gamit ang mga tradisyunal na antivirus tool.

Mga pangunahing tip upang maiwasang mahulog sa mga bitag tulad ng KosPy

Ang mga eksperto at analyst ay nagkonsulta pagkatapos matuklasan ang KosPy ay nagrerekomenda ng matinding pag-iingat, dahil kahit na ang pag-install ng mga app mula lamang sa Google Play Store ay hindi ginagarantiyahan ang ganap na seguridad. Kasama sa mga tip ang:

  • Palaging suriin ang mga review at rating ng mga app, at mag-ingat sa mga may kaunting komento o negatibong rating.
  • Tingnan ang pangalan ng developer, maghanap ng karagdagang impormasyon tungkol sa kanila, at tingnan kung sila ay isang pinagkakatiwalaan at kinikilalang entity.
  • Bigyang-pansin ang bilang ng mga pag-download: kung ang app ay bago o may napakababang rate ng pag-download, maging mas maingat.
  • Siguraduhin na ang iyong operating system at mga application ay palaging napapanahon, dahil karamihan sa mga butas sa seguridad ay naayos sa pamamagitan ng mga opisyal na patch.
  • Magbigay lamang ng mahahalagang pahintulot sa bawat app. Kung ang isang file management application ay humiling ng access sa mikropono o camera, ito ay sanhi ng alarma.
  • Kung mayroon kang alinman sa mga natukoy na infected na app na naka-install, alisin kaagad ang mga ito, palitan ang iyong mga password, at magsagawa ng buong pagsusuri sa seguridad.
  • Pag-isipang mag-install ng pinagkakatiwalaang solusyon sa seguridad sa mobile para mapataas ang iyong antas ng proteksyon at patuloy na pagsubaybay.

Ang pandaigdigang tugon at ang kasalukuyang sitwasyon

Kasunod ng malawakang saklaw ng media ng KosPy at ang pagsisiyasat na pinamumunuan ng Lookout, pinalakas ng Google ang mga kontrol nito at ang Play Protect system, hinaharangan at inaalis ang lahat ng kilalang variant ng spyware na ito. Higit pa rito, ang internasyonal na pakikipagtulungan sa pagitan ng mga kumpanya ng cybersecurity at mga higante ng teknolohiya ay susi sa pag-neutralize sa mga banta na ito bago sila maging laganap.

Mula nang alisin ang KosPy, walang mga bagong kaso ng malawakang impeksyon sa pamamagitan ng Google Play Store na lumitaw, bagama't mahalagang manatiling mapagbantay, dahil ang mga umaatake ay patuloy na nagbabago ng kanilang mga diskarte.

Ang pagtuklas ng KosPy ay na-highlight ang lumalagong pagiging sopistikado ng digital espionage sa Android ecosystem, na nagpapakita na walang sinuman ang immune sa pagiging biktima. Ang pakikipagtulungan sa pagitan ng mga aktor ng estado at mga grupo ng hacker tulad ng ScarCruft at Kimsuky, ang pagsasamantala sa mga opisyal na tindahan, at ang kakayahang itago ang kanilang mga sarili bilang tila hindi nakakapinsalang mga app ay binibigyang-diin ang kahalagahan ng pagpapanatili ng isang proactive na diskarte sa digital na proteksyon.

Paano gawing isang spy camera ang iyong Android
Kaugnay na artikulo:
Paano gawing isang spy camera ang iyong Android

Ang aktibong pagsubaybay, kritikal na pagsusuri ng mga permit, at patuloy na pag-update ay ang pinakamahusay na mga hadlang sa mga banta na ito. Ibahagi ang impormasyon upang malaman ng ibang mga gumagamit ang balita..


Sundan kami sa Google News