Sesebuah kumpulan penggodam yang mempunyai hubungan dengan rejim Korea Utara memuat naik spyware Android ke kedai aplikasi Google Play dan berjaya menipu sesetengah orang untuk memuat turunnya, menurut firma keselamatan Siber Lookout.
Dalam laporan yang diterbitkan pada hari Rabu, dan dikongsi secara eksklusif dengan TechCrunch sebelumnya, Lookout menghuraikan satu kempen perisikan yang melibatkan beberapa sampel perisik Android yang dipanggil KoSpy, yang syarikat tersebut mengaitkan dengan 'keyakinan tinggi' kepada kerajaan Korea Utara.
Sekurang-kurangnya satu daripada aplikasi spyware itu pada satu ketika berada di Google Play dan dimuat turun lebih daripada 10 kali, menurut gambaran laman aplikasi yang disimpan pada kedai aplikasi rasmi Android. Lookout termasuk tangkapan skrin laman tersebut dalam laporannya.
Dalam beberapa tahun kebelakangan ini, penggodam Korea Utara telah menyedot berita utama, terutamanya untuk pencurian kritptografi yang berani, seperti pencurian terkini sekitar $1.4 bilion dalam Ethereum dari pertukaran kripto Bybit, dengan tujuan memajukan program senjata nuklear yang dilarang negara tersebut. Dalam kes kempen spyware baru ini, bagaimanapun, semua tanda menunjukkan bahawa ini adalah satu operasi pengawasan, berdasarkan fungsionaliti aplikasi spyware yang dikenalpasti oleh Lookout.
Objektif kempen spyware Korea Utara tidak diketahui, tetapi Christoph Hebeisen, pengarah penyelidikan maklumat keselamatan Lookout, memberitahu TechCrunch bahawa dengan hanya beberapa muatan turun, aplikasi spyware itu kemungkinan besar menargetkan individu tertentu.
Menurut Lookout, KoSpy mengumpul 'jumlah maklumat sensitif yang luas,' termasuk: mesej teks SMS, log panggilan, lokasi data peranti, fail dan folder pada peranti, kekunci yang dimasukkan oleh pengguna, butir-butir rangkaian Wi-Fi, dan senarai aplikasi yang dipasang.
KoSpy juga boleh merekodkan audio, mengambil gambar dengan kamera telefon, dan mengambil tangkapan skrin skrin yang digunakan.
Lookout juga mendapati bahawa KoSpy bergantung pada Firestore, pangkalan data awan yang dibina atas infrastruktur Google Cloud untuk mendapatkan 'konfigurasi permulaan'.
Juru bicara Google Ed Fernandez memberitahu TechCrunch bahawa Lookout berkongsi laporannya dengan syarikat itu, dan 'kesemua aplikasi yang dikenalpasti telah dikeluarkan dari Play [dan] projek Firebase dinyahaktifkan,' termasuk sampel KoSpy yang berada di Google Play.
'Google Play secara automatik melindungi pengguna dari versi malware yang diketahui pada peranti Android dengan Perkhidmatan Google Play,' kata Fernandez.
Google tidak memberi komen mengenai siri soalan khusus tentang laporan itu, termasuk sama ada Google bersetuju dengan atribusi kepada rejim Korea Utara, dan butiran lain mengenai laporan Lookout.
Hubungi Kami
Adakah anda mempunyai maklumat lanjut mengenai KoSpy, atau spyware lain? Dari peranti dan rangkaian bukan kerja, anda boleh menghubungi Lorenzo Franceschi-Bicchierai secara selamat di Signal di +1 917 257 1382, atau melalui Telegram dan Keybase @lorenzofb, atau e-mel. Anda juga boleh menghubungi TechCrunch melalui SecureDrop.Laporan juga mengatakan Lookout menemui beberapa aplikasi spyware di kedai aplikasi pihak ketiga APKPure. Jurucakap APKPure berkata syarikat itu tidak menerima 'sebarang e-mel' dari Lookout.
Orang, atau orang-orang, yang mengawal alamat e-mel pemaju yang disenaraikan pada laman Google Play yang memuatkan aplikasi spyware itu tidak memberikan respons kepada permintaan komen TechCrunch.
Hebeisen Lookout, bersama-sama dengan Alemdar Islamoglu, seorang penyelidik maklumat keselamatan kanak-kanak, memberitahu TechCrunch bahawa walaupun Lookout tidak mempunyai maklumat tentang siapa yang mungkin disasarkan secara khusus — digodam, secara efektif — syarikat yakin bahawa ini adalah kempen yang sangat dituju, mungkin menyerang orang-orang di Korea Selatan, yang bertutur dalam Bahasa Inggeris atau Korea.
Penilaian Lookout berdasarkan nama-nama aplikasi yang mereka temui, beberapa di antaranya dalam Bahasa Korea, dan bahawa beberapa aplikasi mempunyai tajuk bahasa Korea dan antara muka pengguna menyokong kedua-dua bahasa, mengikut laporan.
Lookout juga mendapati bahawa aplikasi spyware menggunakan nama domain dan alamat IP yang sebelum ini dikenalpasti sebagai wujud dalam infrastruktur perisian jahat dan kawalan diberikan oleh kumpulan penggodam kerajaan Korea Utara APT37 and APT43.
'Yang menarik tentang pengancam Korea Utara adalah bahawa mereka, nampaknya, agak kerap berjaya mendapatkan aplikasi ke dalam kedai aplikasi rasmi,' kata Hebeisen.
