Un nouveau logiciel espion Android nommé « KoSpy » est lié à des acteurs de la menace nord-coréens qui ont infiltré Google Play et l’app Store tiers APKPure via au moins cinq applications malveillantes.
Selon les chercheurs de Lookout, le logiciel espion est attribué au groupe de menaces nord-coréen APT37 (alias « ScarCruft »). La campagne est active depuis mars 2022, les acteurs de la menace développant activement le logiciel malveillant sur la base d’échantillons plus récents.
La campagne de logiciels espions cible principalement les utilisateurs coréens et anglophones en se déguisant en gestionnaires de fichiers, outils de sécurité et mises à jour logicielles.
Les cinq applications Lookout identifiées sont le Gestionnaire de téléphone, le Gestionnaire de fichiers (com.dossier.exploiteur), Gestionnaire intelligent, Sécurité Kakao et Utilitaire de mise à jour logicielle.
Les applications malveillantes offrent au moins certaines des fonctionnalités promises, mais chargent le logiciel espion Kospi en arrière-plan.
La seule exception est la sécurité Kakao, qui n’affiche qu’une fausse fenêtre système tout en demandant l’accès à des autorisations risquées.
La campagne a été attribuée à APT37 sur la base d’adresses IP précédemment liées à des opérations nord-coréennes, de domaines qui facilitaient la distribution de logiciels malveillants Konni et d’une infrastructure qui chevauche APT43, un autre groupe de menaces parrainé par la RPDC.
Détails Kospi
Une fois actif sur l’appareil, Kospi récupère un fichier de configuration crypté à partir d’une base de données Firebase Firestore pour échapper à la détection.
Ensuite, il se connecte au serveur de commande et de contrôle (C2) réel et exécute des vérifications pour s’assurer qu’il ne s’exécute pas dans un émulateur. Le logiciel malveillant peut récupérer les paramètres mis à jour du C2, des charges utiles supplémentaires à exécuter et être activé / désactivé dynamiquement via un interrupteur « marche / arrêt ».
Les capacités de collecte de données de KoSpy sont:
- Interception des SMS et des journaux d’appels
- Suit la localisation GPS de la victime en temps réel
- Lit et exfiltrer les fichiers du stockage local
- Utilise le microphone de l’appareil pour enregistrer de l’audio
- Utilise l’appareil photo de l’appareil pour capturer des photos et des vidéos
- Capture des captures d’écran de l’affichage de l’appareil
- Enregistre les frappes au clavier via les Services d’accessibilité Android
Chaque application utilise un projet Firebase et un serveur C2 distincts pour l’exfiltration des données, qui sont chiffrés avec une clé AES codée en dur avant la transmission.
Bien que les applications de logiciels espions aient maintenant été supprimées de Google Play et d’APKPure, les utilisateurs devront les désinstaller manuellement et les analyser avec des outils de sécurité pour déraciner les restes de l’infection de leurs appareils. Dans les cas critiques, une réinitialisation d’usine est recommandée.
Google Play Protect est également capable de bloquer les applications malveillantes connues, donc l’activer sur des appareils Android à jour peut aider à se protéger contre KoSpy.
Un porte-parole de Google a confirmé à Breachtrace que toutes les applications KoSpy identifiées par Lookout avaient été supprimées de Google Play et que les projets Firebase correspondants avaient également été supprimés.
« L’utilisation de la langue régionale suggère qu’il s’agissait d’un logiciel malveillant ciblé. Avant toute installation par l’utilisateur, le dernier échantillon de malware découvert en mars 2024 a été supprimé de Google Play », a déclaré Google à Breachtrace .
« Google Play Protect protège automatiquement les utilisateurs Android des versions connues de ce malware sur les appareils dotés des services Google Play, même lorsque les applications proviennent de sources extérieures à Play. »