Studiuesit në Lookout kanë zbuluar një spyware të ri Android të quajtur KoSpy. Përdoret nga grupi ScarCruft (i njohur gjithashtu si APT37) gjatë aktiviteteve të spiunazhit kibernetik në emër të qeverisë së Koresë së Veriut. Ai u shpërnda përmes disa aplikacioneve të publikuara në Play Store (të hequra tashmë nga Google).
Përshkrimi i NoSpy
Versioni i fundit i NoSpy u zbulua në mars 2024. Grupi ScarCruft ka qenë aktiv që nga viti 2012 dhe kryen sulme kryesisht kundër objektivave në Korenë e Jugut Spyware u gjet në pesë aplikacione në Play Store me funksionalitet pothuajse të padobishëm.
Pas fillimit, një skedar konfigurimi shkarkohet nga Firebase Firestore që ju lejon të aktivizoni/çaktivizoni spyware, të ndryshoni adresën IP të serverit C2 (komandë dhe kontroll) dhe të kryeni funksione mbikëqyrjeje. NoSpy mund të aksesojë mesazhet dhe historikun e telefonatave, të zbulojë vendndodhjen gjeografike, të aksesojë skedarët dhe drejtoritë, të regjistrojë shtypjet e tastave, të përpilojë një listë të aplikacioneve të instaluara, të regjistrojë pamje nga ekrani, të bëjë fotografi dhe të regjistrojë audio.
Të gjitha të dhënat dërgohen më pas në serverët C2 pas aplikimit të kriptimit AES. Një aplikacion i infektuar ishte reklamuar në YouTube. Disa ishin të pranishëm edhe në APKPure. Sipas ekspertëve të Lookout, ScarCruft përdorte të njëjtën infrastrukturë si një grup tjetër kriminal kibernetik i Koresë së Veriut, i njohur si Kimsuky ose APT43.
Një zëdhënës i Google tha se të gjitha aplikacionet janë hequr nga Play Store, ndërsa projektet Firebase janë çaktivizuar. Përdoruesit mbrohen automatikisht kundër këtij malware me veçorinë Play Protect. Numri i pajisjeve të infektuara nuk dihet për momentin, por këto janë sulme të synuara ndaj personave të caktuar.
Discussion about this post