СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
13.03.2025
#Dev#ИБ#Инфра

KoSpy: Новая угроза кибербезопасности от APT37

KoSpy: Новая угроза кибербезопасности от APT37

Источник: security.lookout.com

KoSpy представляет собой шпионскую программу для Android, разработанную северокорейской группой APT37, также известной как ScarCruft. Данная угроза нацелена на корейских и англоязычных пользователей и впервые была обнаружена в марте 2022 года. Шпионское ПО маскируется под различные служебные приложения, используя для своего распространения Google Play Store и сторонние магазины приложений.

Операционные возможности KoSpy

Основная цель KoSpy заключается в сборе конфиденциальной информации с зараженных устройств. Программа использует обманчивые интерфейсы, чтобы заманить пользователей и незаметно активировать вредоносные функции. Например:

  • Утилита обновления программного обеспечения показывает экран реального обновления.
  • Приложение Kakao Security создает поддельный интерфейс, запрашивающий множество разрешений.

Инфраструктура и механизм работы

Операционный механизм KoSpy включает в себя двухэтапную инфраструктуру командования и контроля (C2). Первоначальные настройки извлекаются из Firebase Firestore, позволяя хакерам:

  • Активировать или деактивировать шпионское ПО.
  • Изменить адреса серверов C2 для повышения устойчивости к обнаружению.

Технологические аспекты KoSpy

При инициализации KoSpy проводит проверку, чтобы убедиться, что устройство не является эмулятором, и что дата находится после заданной даты активации. Это служит для сокрытия злонамеренных намерений. KoSpy может собирать следующие ключевые данные:

  • SMS-сообщения
  • Журналы вызовов
  • Геолокация
  • Файлы
  • Аудиозаписи
  • Скриншоты

Безопасность и коммуникация

Вредоносная программа использует жесткое шифрование AES для защиты данных, передаваемых на серверы C2. Запросы, отправляемые на серверы, включают как данные конфигурации, так и загружаемые плагины. Полученные документы в формате JSON позволяют настраивать параметры, такие как частота повторных вызовов и текст пользовательского интерфейса в зависимости от языковых предпочтений.

Связь с другими группами и текущая ситуация

Примечательно, что есть признаки использования общей инфраструктуры с APT43, что усложняет установление причастности к этой деятельности. По данным компании Lookout, Google удалила вредоносные приложения из своего Play Store, однако остатки шпионского ПО все еще могут оставаться на сторонних платформах.

«Совпадение инфраструктуры и тактики APT37 и APT43 свидетельствует о сложностях, связанных с отслеживанием действий северокорейских хакеров,» — отмечают эксперты в области кибербезопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: