Severokórejskí hackeri sa dostali do Obchodu Play. Šírili tam špionážny softvér KoSpy cez tieto aplikácie

Bezpečnostní analytici z Lookout Threat Lab objavili nový Android spyware, ktorý nazvali KoSpy. Tento špehovací softvér pochádza od hackerskej skupiny zo Severnej Kórei, ktorá sa nazýva ScarCruft.  

Malvér je aktívny od roku 2022 no hackeri nedávno zaútočili opäť. Šíri sa cez falošné aplikácie, ktoré sa vydávajú za správcov súborov, nástroje na správu aktualizácií či bezpečnostný softvér (išlo napr. o aplikácie File Manager app, Phone Manager, Smart Manager či Kakao Security).

Odoberaj Vosveteit.sk cez Telegram a prihlás sa k odberu správ

ScarCruft aplikácie šírilo cez Obchod play alebo Firebase Firestore obchod s aplikáciami. Spoločnosť Google už odstránila všetky známe podvodné aplikácie z obchodu, no bezpečnostní analytici varujú, že hackeri môžu vytvoriť nové.  

Hackeri zo ScarCruft sú aktívni od roku 2012 a venujú sa prevažne kyberšpionážnej činnosti. Vo väčšine prípadov útočili na Južnú Kóreu, no v poslednej dobe rozšírili svoju činnosť aj do iných krajín po celom svete.  

Ako prebieha útok?

Vzorky falošných aplikácií bezpečnostným analytikom prezradili, že aplikácie majú základné jednoduché rozhranie. Toto rozhranie otvára interné karty nastavení, ktoré má užívateľ zabudované v operačnom systéme smartfónu. Napríklad ak užívateľ stiahol falošnú aplikáciu, ktorá sľubovala manažovanie aktualizácií, po spustení aplikácie sa otvorila obrazovka aktualizácií v systémových nastaveniach.  

Neprehliadni

Túto funkciu Androidu si hneď teraz zapni. Môže ťa ochrániť pred podvodmi! Predvolene je vypnutá

Správca súborov spustil zabudovaného správcu súborov v zariadení. Zaujímavosťou je, že falošná antivírová aplikácia mala vlastné, no stále veľmi jednoduché, rozhranie, ktoré nemalo žiadnu užitočnú funkcionalitu. Napriek tomu si aplikácia vyžiadala niekoľko citlivých povolení.  

Po stiahnutí falošnej aplikácie KoSpy malvér nadviaže spojenie s C2 serverom hackerov. Následne špionážny softvér skontroluje, či nebeží v emulátore alebo sandbox prostredí. Ide o prostredie, ktoré je izolované od internetu a od zvyšku zariadenia. Malvér sa teda môže rozbaliť a fungovať, no nepoškodí žiadnu dôležitú časť zariadenia. Bezpečnostní analytici takéto prostredia využívajú na skúmanie školdivého softvéru.  

Ako sme spomenuli, spyware KoSpy kontroluje, či sa nenachádza v emulátore. Zároveň kontroluje, či je súčasný dátum za napevno nakódovaným aktivačným dátumom. Aktivačný dátum slúži kyberzločincom ako záruka, že sa spyware neprezradí predčasne.  

Následne posiela malvér dve požiadavky na C2 server. Jedna požiadavka sťahuje škodlivé pluginy, zatiaľ čo druhá požiadavka získa konfigurácie pre špionážne funkcie malvéru. Po nainštalovaní malvéru KoSpy dokážu získavať hackeri celý rad citlivých informácií. Malvér zbiera SMS správy a záznamy o hovoroch. Popri tom získava lokáciu smartfónu a získava taktiež prístup k súborom v pamäti smartfónu.  

Malvér KoSpy dokáže nahrávať audio pomocou mikrofónu a využívať aj kameru na špehovanie okolia užívateľa. Popri tom ale vie aj vytvárať screenshoty a nahrávať obrazovku, či stlačenia kláves. Získané informácie sa posielajú šifrované na C2 server útočníkov.  

Môžu sa objaviť aj nové aplikácie

Ako sme už spomenuli, hackeri šírili škodlivé aplikácie s malvérom KoSpy cez niekoľko obchodov s aplikáciami. Niektoré falošné aplikácie sa dostali aj do Obchodu play, no hackeri ich šírili aj cez third party obchod Apkpure. V Obchode Play nie je dostupná žiadna z infikovaných aplikácií.  

Bezpečnostní analytici ale vysvetľujú, že hackeri môžu vytvoriť nové podvodné aplikácie a tie distribuovať rovnakým spôsobom. Vyšetrovanie zároveň odhalilo aj podobnosti s inými hackerskými skupinami, napríklad Kimsuky. Čo sa však týka odhalenej infraštruktúry, spôsobu distribúcie a ďalších faktorov, bezpečnostní analytici sú si stredne istí, že za týmito útokmi stoja hackeri zo ScarCruft.  

Pozor na viaceré podvody 

Pred niekoľkými dňami sa objavila aj phishingová kampaň, ktorá šírila malvér cez PDF prílohy a falošné CAPCHA testy. Kyberzločinci využívali SEO a iné triky, aby sa dostali na prvé miesta vo vyhľadávači. Následne využili falošné captcha obrázky aby zaviedli užívateľov na phishingové weby. Cez phishingové stránky kyberzločinci chceli užívateľom kradnúť platobné údaje alebo iné citlivé dáta.   

Ako vyšetrovatelia poznamenávajú, PDF súbory použité v tomto kybernetickom útoku obsahujú falošné capcha testy, ktoré sú navrhnuté tak, aby na zariadeniach užívateľa spustili PowerShell príkazy. Cez tieto príkazy užívateľ sám spustí na svojom zariadení inštalovanie malvéru Lumma Stealer. Viac sa o kampani môžeš dočítať v tomto článku. 

Sleduj našu novú Facebook stránku a pridaj sa!