Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

В Google Play найдено северекорейское шпионское ПО

13/03/25

Google6

Группа хакеров, предположительно связанная с правительством Северной Кореи, разместила шпионское ПО для Android в магазине приложений Google Play, сумев убедить некоторых пользователей скачать его. Об этом сообщает ИБ-компания Lookout, пишет Securitylab.

В отчете Lookout описана кампания с использованием нескольких версий шпионского ПО Android под названием KoSpy. Вредоносное ПО с высокой степенью уверенности связано с правительством Северной Кореи.

Одно из заражённых приложений находилось в Google Play и было загружено более 10 раз, согласно кешированной версии страницы в магазине. Хотя северокорейские хакеры в последние годы чаще всего попадали в новости из-за кражи криптовалют, включая недавний взлом биржи Bybit на сумму около 1,4 миллиарда долларов, новая атака носит разведывательный характер. Это подтверждается функциональностью обнаруженных приложений.

7zjeaj3wyxeqhax720q7r0rx8x76km60

Конкретные цели операции пока неизвестны. Специалисты выявили, что KoSpy собирает широкий спектр конфиденциальных данных, включая SMS-сообщения, историю вызовов, геолокацию, файлы и папки на устройстве, нажатия клавиш, информацию о Wi-Fi-сетях и список установленных приложений. Также вредоносное ПО может записывать звук, делать снимки с камер устройства и скриншоты.

KoSpy использует Firestore, облачную базу данных на инфраструктуре Google Cloud, для получения начальных конфигураций. Представитель Google сообщил, что Lookout передала компании информацию об угрозе, после чего все выявленные вредоносные приложения были удалены из Google Play, а связанные проекты Firebase отключены.

Google также заявила, что пользователи Android, у которых включены сервисы Google Play, автоматически защищены от известных версий данного вредоносного ПО. Однако на вопросы о причастности Северной Кореи и других деталях отчёта компания отвечать не стала.

Кроме официального магазина Google Play, Lookout обнаружила заражённые приложения и на стороннем ресурсе APKPure, представители которого заявили, что не получали уведомлений о вредоносном ПО от Lookout.

Дополнительно Lookout выявила использование тех же доменов и IP-адресов, которые ранее были связаны с хакерскими группировками APT37 и APT43 , действующими в интересах северокорейского правительства.

Личности разработчиков, разместивших вредоносное приложение, остаются неизвестными, а связаться с ними по указанному в Google Play адресу электронной почты не удалось. Lookout утверждает, что атака была направлена, скорее всего, на пользователей из Южной Кореи, говорящих на английском и корейском языках. Такой вывод сделан на основе названий приложений, некоторых из которых имеют корейские названия, а также интерфейсов, поддерживающих оба языка.

Темы:ПреступленияAPT-группыGoogle PlayкибершпионажКНДРLookout
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...