KosPy: Gjithçka rreth programit spiun të Koresë së Veriut që sulmoi Android-in në të gjithë botën

  • KosPy është një program spiun i përparuar që shpërndahet përmes aplikacioneve mashtruese në Google Play Store dhe dyqane alternative.
  • Malware ishte i lidhur me grupet shtetërore të spiunazhit kibernetik të Koresë së Veriut, të tilla si APT37 (ScarCruft) dhe APT43 (Kimsuky).
  • Ai nxirrte të dhëna personale, mesazhe, thirrje dhe vendndodhje, dhe kontrollonte funksione kritike të telefonit, dhe u eliminua pas një alarmi nga ekspertët e Lookout.
Joaquin Romero

Minuta 9

Mësoni gjithçka rreth KosPy, programit spiun të Koresë së Veriut.

Siguria e pajisjeve Android është rikthyer në qendër të vëmendjes pas zbulimit të një fushate të sofistikuar spiunazhi dixhital të orkestruar nga Koreja e Veriut. Protagonisti i këtij komploti të ndërlikuar është KosPy, një program spiunazh që, i maskuar si aplikacione legjitime, ka arritur të infektojë mijëra telefona celularë në të gjithë botën, duke mbledhur të dhëna personale dhe konfidenciale nga përdoruesit në vende të ndryshme. Në këtë artikull të gjerë, do të analizojmë gjithçka që dimë rreth KosPy, që nga origjina, metoda e shpërndarjes dhe aftësitë teknike e deri te masat e marra për të ndaluar përhapjen e tij, së bashku me rekomandime të dobishme për t'u mbrojtur nga kërcënime të ngjashme në të ardhmen.

Nëse keni shkarkuar ndonjëherë një aplikacion për të menaxhuar skedarët tuaj ose për të përmirësuar sigurinë e Android-it tuaj nga dyqane si Google Play Store ose platforma alternative, kjo është me interes të madh për ju. Le të shqyrtojmë se si ky program spiunazh i shmangu kontrolleve të sigurisë, çfarë lloj informacioni ishte në gjendje të mblidhte, pse konsiderohet një kërcënim i lidhur me inteligjencën e Koresë së Veriut dhe si të dallojmë shenjat paralajmëruese para se të jetë tepër vonë.

Çfarë është KosPy dhe kush qëndron pas saj?

KosPy është një program spiunazhi i zbuluar në pajisjet Android dhe i lidhur drejtpërdrejt me grupet e spiunazhit kibernetik të mbështetura nga shteti i Koresë së Veriut. Ekzistenca e tij u dokumentua nga ekipi Lookout, një firmë sigurie kibernetike e specializuar në kërcënimet e pajisjeve mobile, e cila zbuloi se ky program keqdashës ishte i vendosur në aplikacione në dukje të padëmshme të disponueshme si në Google Play Store ashtu edhe në dyqanet e aplikacioneve të palëve të treta, siç është APKPure.

Si të dërgoni foto të drejtpërdrejta në WhatsApp
Artikulli i lidhur:
WhatsApp paralajmëron për spyware që komprometojnë sigurinë e celularit

KosPy i atribuohet kryesisht një grupi të njohur si APT37 ose ScarCruft, e njohur gjerësisht për operacionet e saj të spiunazhit kibernetik të lidhura me qeverinë e Koresë së Veriut për më shumë se një dekadë. Jo vetëm kaq: Infrastruktura dixhitale e përdorur nga KosPy ndan lidhje me një grup tjetër të famshëm, Kimsuky (APT43), duke demonstruar një nivel koordinimi dhe burimesh teknike që vetëm aktorët shtetërorë mund t’i përballojnë.

Kujdes nga KosPy, programi spiun i zhvilluar nga Koreja e Veriut

Metodat e shpërndarjes: Ja se si KosPy infiltroi ​​mijëra Android-ë

Zgjuarësia (dhe rreziku) i madh i KosPy qëndron në mënyrën e përhapjes, pasi arriti të kapërcejë kontrollet e rrepta të Google dhe të futet tinëzisht sikur të ishte një aplikacion i vërtetë., një problem që vë në rrezik besimin e vendosur në dyqanet zyrtare të aplikacioneve.

Ndër teknikat më të dukshme:

  • Aplikacione mashtruese të maskuara si mjete shërbimi (menaxherë skedarësh, programe për përditësimin e softuerëve, përmirësime sigurie, etj.).
  • Prezenca e Ndërfaqe dhe tituj bazë në anglisht dhe koreanisht, e cila synon një audiencë specifike.
  • Përfshirja e KosPy në aplikacione si «Menaxher i telefonit celular (menaxher telefoni)», «Gestionnaire de fichiers,en" 'Menaxher i zgjuar (menaxher i zgjuar)», «Sigurimi Kakao (Siguria Kakao)» dhe «Shërbimi i përditësimit të softuerit« Të gjithë janë miratuar ligjërisht në Google Play Store dhe madje janë replikuar në APKPure.
  • Manipulimi i platformës Firebase si një infrastrukturë komande dhe kontrolli (C2) dhe për të shkarkuar dinamikisht konfigurime shtesë pasi aplikacioni të instalohet në pajisjen e viktimës.

Zhvilluesi që qëndronte pas këtyre aplikacioneve vepronte nën pseudonimin "Android Utility Developer", madje duke dhënë edhe adresa email-i kontakti për të kaluar pa u vënë re. Pas alarmit të studiuesve, Google jo vetëm që hoqi të gjitha aplikacionet e infektuara nga dyqani i saj, por edhe çaktivizoi projektet e lidhura me Firebase, duke ndërprerë kështu kanalin e komunikimit midis pajisjeve të kompromentuara dhe serverëve të kriminelëve kibernetikë.

Si vepron KosPy pasi infekton pajisjen?

Shqetësimet kryesore rreth KosPy janë gama e gjerë e të dhënave që mund të mbledhë dhe sofistikimi i metodave të nxjerrjes së të dhënave. Kur hapni një nga këto aplikacione të rreme, KosPy hapet në sfond, duke integruar kodin e tij keqdashës për të mbetur i pazbuluar dhe duke kërkuar leje të larta aksesi.

Ndër aftësitë teknike më të rëndësishme të programeve spiune janë:

  • Leximi dhe nxjerrja e mesazheve SMS.
  • marrjen e regjistrat e thirrjeve dhe kontaktet.
  • Monitorimi i vendndodhjes GPS, gjurmimi i përdoruesit në kohë reale.
  • Qasja në skedarë dhe dosje të ruajtura lokalisht në telefon.
  • Regjistrimi i audio ambienti duke përdorur mikrofonin dhe duke bërë fotografi përmes kamerës.
  • Kapja e pamjet e ekranit dhe regjistrimet e ekranit, duke spiunuar fjalë për fjalë gjithçka që shihet ose bëhet në celular.
  • Regjistrimi i shtypjeve të tastierës dhe përdorimit të aplikacionit duke shfrytëzuar shërbimet e aksesueshmërisë, të cilat mund të lejojnë përgjimin e fjalëkalimeve dhe kredencialeve.
  • Marrja e informacionit rreth Rrjetet WiFi me të cilat lidhet pajisja dhe lista e aplikacioneve të instaluara.

Të dhënat transmetohen të koduara (duke përdorur një algoritëm të paracaktuar AES) në serverat C2 të kontrolluar nga hakerat e Koresë së Veriut, duke e bërë të vështirë për zbulimin konvencional të identifikojë rrjedhjen e informacionit.

Kush ishte në shënjestër të KosPy?

Edhe pse KosPy është përhapur globalisht, shumica e sulmeve kanë synuar përdoruesit koreanë dhe anglishtfolës.. Gjuha e aplikacioneve dhe lejet e kërkuara ishin një nga të dhënat e përdorura për të filtruar viktimat e mundshme, të cilat qartësisht synonin Korenë e Jugut dhe vendet anglishtfolëse. Megjithatë, analizat detajojnë edhe infeksionet në rajone të tjera, duke përfshirë Japoninë, Vietnamin, Rusinë, Nepalin, Kinën, Indinë, Kuvajtin, Rumaninë dhe disa shtete të Lindjes së Mesme.

Kjo tregon një interes strategjik në nivel ndërkombëtar, qoftë për të aksesuar informacione personale përkatëse ose për të spiunuar lëvizjet politike, të biznesit ose teknologjike.

Përdorni Airtag për të spiunuar një celular Android
Artikulli i lidhur:
Përdorni Airtag për të spiunuar një celular Android

Evolucioni i fushatës dhe reagimi i Google-it

Lëvizja e parë e dokumentuar e KosPy daton që nga marsi i vitit 2022, megjithëse mostrat më të fundit u gjurmuan në fillim të vitit të kaluar.. Sipas Google dhe Lookout, sapo u konfirmua ekzistenca e malware-it, të gjitha aplikacionet e lidhura me të u hoqën nga Play Store. Për më tepër, Google Play Protect aktualisht bllokon instalimin e varianteve të njohura të KosPy, edhe nëse shkarkohen nga jashtë dyqanit zyrtar.

Megjithatë, Nuk ka të dhëna publike se sa shkarkime ndodhën para tërheqjes ose sa variante mund të kenë qarkulluar të pazbuluara.. Prandaj, rekomandohet të monitorohen në mënyrë aktive lejet e aplikacioneve, si dhe të mbahen Android dhe të gjitha aplikacionet të përditësuara me versionet më të fundit të sigurisë.

Marrëdhënia midis KosPy, ScarCruft (APT37), Kimsuky (APT43) dhe inteligjencës së Koresë së Veriut

Atribuimi i KosPy-së ndaj spiunazhit kibernetik shtetëror të Koresë së Veriut mbështetet nga disa detaje teknike dhe infrastrukturore:

  • Infrastruktura e përdorur (adresat IP dhe domenet për serverat C2) është përdorur në sulmet e mëparshme që i atribuohen Koresë së Veriut që të paktën nga viti 2019.
  • Aplikacionet keqdashëse ndajnë teknika, taktika dhe procedura (TTP) me fushatat ScarCruft/APT37.
  • Një pjesë e kodit dhe infrastrukturës është lidhur gjithashtu me Kimsuky/APT43, duke treguar një bashkëpunim ose ndarje të mundshme të burimeve midis dy grupeve.
  • Gjuha, fokusi rajonal dhe lloji i informacionit të vjedhur përputhen me interesat tradicionalisht të lidhura me inteligjencën e Koresë së Veriut.

Kjo mbivendosje në metoda dhe objektiva midis grupeve APT të Koresë së Veriut nganjëherë do të thotë që atribuimi i një sulmi specifik nuk është 100% i saktë, por burimi është i qartë për ekspertët e sigurisë.

Lista e aplikacioneve më të rëndësishme të infektuara

Nëse keni pyetje në lidhje me aplikacionet që keni instaluar në Android-in tuaj, shikoni këto emra, të cilët janë konfirmuar në raportet e Lookout dhe janë raportuar nga media:

  • 휴대폰 관리자 (Menaxheri i telefonit)
  • Gestionnaire de fichiers,en
  • 스마트 관리자 (Menaxheri i zgjuar)
  • Sigurimi Kakao
  • Shërbimi i përditësimit të softuerit

Këto aplikacione u shpërndanë si në Google Luaj Store si në platforma alternativa shkarkimi, të tilla si APKPure. Nëse zbuloni ndonjë nga këto në pajisjen tuaj, fshijeni menjëherë aplikacionin dhe ndryshoni të gjitha fjalëkalimet. Gjithashtu, kryeni një skanim sigurie me një aplikacion me reputacion të mirë.

Artikulli i lidhur:
XNSPY, softueri më i mirë spiun për smartphone-in tuaj

Çfarë lloj informacioni vodhi KosPy dhe si e bëri këtë?

Niveli i aksesit dhe vëllimi i të dhënave të mbledhura nga KosPy tejkalon shumë atë që është tipike për malware-in e zakonshëm celular. Ndër informacionet e nxjerra janë:

  • Mesazhe me tekst (SMS dhe ndoshta shërbime të tjera mesazhesh)
  • Detajet e plota të regjistrave të thirrjeve: numrat, kohëzgjatja, ora dhe data
  • Koordinatat e pozicionit të celularit në kohë reale
  • Dokumente, imazhe dhe skedarë nga memoria e brendshme
  • Tinguj të kapur nga mikrofoni: biseda, ambienti, etj.
  • Foto të shkrepura kur kamera u aktivizua në sfond
  • Kapje dhe regjistrime të ekranit, që ju lejojnë të shihni gjithçka që përdoruesi ka parë ose shkruar
  • Regjistrimi i tasteve me tastierë që abuzon me lejet e aksesueshmërisë
  • Informacion mbi rrjetin Wi-Fi dhe listën e aplikacioneve të instaluara

Përveç kësaj, I gjithë ky informacion u dërgua i koduar në serverat e komandës dhe kontrollit (C2) përmes kanaleve të mbrojtura., gjë që e bëri të vështirë zbulimin duke përdorur mjetet tradicionale antivirus.

Këshilla kryesore për të shmangur rënien në kurthe si KosPy

Ekspertët dhe analistët e konsultuar pasi zbuluan KosPy rekomandojnë kujdes të jashtëzakonshëm, pasi edhe instalimi i aplikacioneve vetëm nga Google Play Store nuk garanton siguri absolute. Këshillat përfshijnë:

  • Kontrolloni gjithmonë vlerësimet dhe recensionet e aplikacioneve dhe kini kujdes me ato me pak komente ose vlerësime negative.
  • Kontrolloni emrin e zhvilluesit, kërkoni informacione shtesë rreth tij dhe shikoni nëse është një entitet i besuar dhe i njohur.
  • Kushtojini vëmendje numrit të shkarkimeve: nëse aplikacioni është i ri ose ka shkallë shkarkimi shumë të ulëta, kini kujdes shtesë.
  • Sigurohuni që sistemi juaj operativ dhe aplikacionet të jenë gjithmonë të përditësuara, pasi shumica e boshllëqeve të sigurisë rregullohen nëpërmjet përditësimeve zyrtare.
  • Jepni vetëm lejet thelbësore për secilin aplikacion. Nëse një aplikacion për menaxhimin e skedarëve kërkon qasje në mikrofon ose kamerë, kjo është shkak për alarm.
  • Nëse keni instaluar ndonjë nga aplikacionet e identifikuara të infektuara, hiqeni ato menjëherë, ndryshoni fjalëkalimet dhe kryeni një kontroll të plotë sigurie.
  • Konsideroni instalimin e një zgjidhjeje të besueshme të sigurisë mobile për të rritur nivelin e mbrojtjes dhe monitorimin e vazhdueshëm.

Përgjigja globale dhe situata aktuale

Pas mbulimit të gjerë mediatik të KosPy dhe hetimit të udhëhequr nga Lookout, Google ka forcuar kontrollet dhe sistemin e saj Play Protect, duke bllokuar dhe hequr të gjitha variantet e njohura të këtij programi spiun. Për më tepër, bashkëpunimi ndërkombëtar midis kompanive të sigurisë kibernetike dhe gjigantëve të teknologjisë është çelësi për neutralizimin e këtyre kërcënimeve përpara se ato të përhapen gjerësisht.

Që nga heqja e KosPy, nuk ka pasur raste të reja të infeksionit masiv përmes Google Play Store, megjithëse është thelbësore të qëndrojmë vigjilentë, pasi sulmuesit po i zhvillojnë vazhdimisht teknikat e tyre.

Zbulimi i KosPy ka nxjerrë në pah sofistikimin në rritje të spiunazhit dixhital në ekosistemin Android, duke demonstruar se askush nuk është imun ndaj të qenit viktimë. Bashkëpunimi midis aktorëve shtetërorë dhe grupeve të hakerave si ScarCruft dhe Kimsuky, shfrytëzimi i dyqaneve zyrtare dhe aftësia për t'u maskuar si aplikacione në dukje të padëmshme nënvizojnë rëndësinë e ruajtjes së një qasje proaktive ndaj mbrojtjes dixhitale.

Si ta ktheni Android-in tuaj në një aparat fotografik spiun
Artikulli i lidhur:
Si ta ktheni Android-in tuaj në një aparat fotografik spiun

Monitorimi aktiv, analiza kritike e lejeve dhe përditësimi i vazhdueshëm janë pengesat më të mëdha ndaj këtyre kërcënimeve. Ndani informacionin në mënyrë që përdoruesit e tjerë të jenë në dijeni të lajmit..


Na ndiqni në Google News