Phần mềm gián điệp Android mới của Triều Tiên lọt vào cửa hàng ứng dụng Google Play

Một phần mềm gián điệp Android mới có tên 'KoSpy' có liên quan đến các tác nhân đe dọa Triều Tiên đã xâm nhập vào cửa hàng ứng dụng Google Play và cửa hàng ứng dụng của bên thứ ba APKPure thông qua ít nhất năm ứng dụng độc hại.

Theo các nhà nghiên cứu của Lookout, phần mềm gián điệp này được cho là của nhóm đe dọa APT37 (hay còn gọi là 'ScarCruft') của Triều Tiên. Chiến dịch này đã diễn ra từ tháng 3/2022, với các tác nhân đe dọa đang tích cực phát triển phần mềm độc hại dựa trên các mẫu mới hơn.

Chiến dịch phần mềm gián điệp chủ yếu nhắm vào người dùng nói tiếng Hàn và tiếng Anh bằng cách ngụy trang thành trình quản lý tệp, công cụ bảo mật và trình cập nhật phần mềm.

Năm ứng dụng mà Lookout xác định được là Phone Manager, File Manager (com.file.exploer), Smart Manager, Kakao Security và Software Update Utility. Các ứng dụng độc hại cung cấp ít nhất một số chức năng đã cam kết nhưng tải phần mềm gián điệp KoSpy ở chế độ nền. Ngoại lệ duy nhất là Kakao Security, chỉ hiển thị cửa sổ hệ thống giả trong khi yêu cầu quyền truy cập vào các quyền rủi ro.

Chiến dịch này được cho là do APT37 thực hiện dựa trên các địa chỉ IP trước đây được liên kết với các hoạt động của Triều Tiên, các tên miền tạo điều kiện cho việc phân phối phần mềm độc hại Konni và cơ sở hạ tầng trùng lặp với APT43, một nhóm đe dọa khác do CHDCND Triều Tiên tài trợ.

Sau khi hoạt động trên thiết bị, KoSpy sẽ truy xuất tệp cấu hình được mã hóa từ cơ sở dữ liệu Firebase Firestore để tránh bị phát hiện.

Tiếp theo, phần mềm gián điệp này kết nối với máy chủ chỉ huy và kiểm soát (C2) thực tế. Đồng thời, nó có thể truy xuất các cài đặt đã cập nhật từ C2, các tải trọng bổ sung để thực thi và được kích hoạt/hủy kích hoạt động thông qua công tắc "bật/tắt".

Khả năng thu thập dữ liệu của KoSpy là:

Chặn tin nhắn SMS và nhật ký cuộc gọi

Theo dõi vị trí GPS của nạn nhân theo thời gian thực

Đọc và trích xuất các tệp từ bộ nhớ cục bộ

Sử dụng micrô của thiết bị để ghi âm

Sử dụng camera của thiết bị để chụp ảnh và quay video

Chụp ảnh màn hình thiết bị

Ghi lại các lần nhấn phím thông qua Dịch vụ trợ năng Android

Mỗi ứng dụng sử dụng một dự án Firebase và máy chủ C2 riêng để trích xuất dữ liệu, được mã hóa bằng khóa AES được mã hóa cứng trước khi truyền.

Mặc dù các ứng dụng phần mềm gián điệp hiện đã bị xóa khỏi cả Google Play và APKPure, nhưng người dùng sẽ cần gỡ cài đặt thủ công và quét chúng bằng các công cụ bảo mật để loại bỏ mọi phần còn lại của phần mềm độc hại khỏi thiết bị của mình. Cẩn thận hơn nữa, người dùng nên khôi phục cài đặt gốc.

Google Play Protect cũng có thể chặn các ứng dụng độc hại đã biết, do đó, việc bật ứng dụng này trên các thiết bị Android mới nhất có thể giúp bảo vệ chống lại KoSpy.

Theo Google, tất cả các ứng dụng KoSpy được Lookout xác định đã bị xóa khỏi Google Play và các dự án Firebase tương ứng cũng đã bị gỡ xuống. Đây được xem là những phần mềm độc hại được nhắm mục tiêu. Trước khi người dùng cài đặt, mẫu phần mềm độc hại mới nhất được phát hiện vào tháng 3 năm 2024 đã bị xóa khỏi Google Play.