Исследователи обнаружили северокорейское шпионское ПО в магазине Google Play

Исследователи компании в сфере кибербезопасности Lookout сообщили, что связанная с Северной Кореей группировка хакеров загрузила шпионское программное обеспечение для Android в магазин приложений Google Play. Злоумышленники обманом смогли заставить некоторых пользователей загрузить этот софт.

Lookout описывает кампанию с участием нескольких образцов шпионского ПО для Android под названием KoSpy. Специалисты компании с «высокой степенью уверенности» связывают программу с северокорейским правительством. Одно из таких приложений в Google Play загрузили более 10 раз.

Исследователи не смогли назвать цели северокорейской шпионской кампании. Учитывая всего несколько загрузок, шпионское ПО было нацелено на конкретных людей, поделился директор по исследованиям в области безопасности Lookout Кристоф Хебейзен.

KoPsy собирает «огромный объём конфиденциальной информации», включая СМС, журналы вызовов, данные о местоположении, файлы и папки на устройстве, нажатия клавиш, сведения о сети Wi-Fi и список установленных приложений. Вредоносное ПО способно записывать звук, делать снимки экрана во время использования и фотографировать на камеры.

Для получения начальных конфигураций KoSpy использовало Filestore — облачную базу данных, созданную на основе инфраструктуры Google Cloud, выяснили в Lookout. Представитель Google Эд Фернандес заявил, что все выявленные исследователями шпионские приложения были удалены из Google Play, а проекты Firebase отключены, включая образец KoSpy.

Кроме того, Lookout обнаружила некоторые шпионские приложения в стороннем магазине приложений для Android — APKPure. Представитель площадки заявил, что компания не получала уведомлений от Lookout.

Кристоф Хебейзен и старший научный сотрудник по вопросам безопасности Lookout