Bài viết này đề cập đến một chiến dịch phần mềm gián điệp Android mới, được cho là của những kẻ đe dọa Bắc Triều Tiên, đặc biệt là nhóm APT37 (còn được gọi là ScarCruft). Phần mềm gián điệp, được gọi là “KoSpy”, đã được các nhà nghiên cứu của Lookout phát hiện và đã giả mạo dưới dạng các ứng dụng tiện ích để nhắm mục tiêu đến người dùng nói tiếng Hàn và tiếng Anh.
Thông tin chính về KoSpy
- Người dùng bị nhắm tới:
KoSpy chủ yếu nhắm đến người dùng nói tiếng Hàn và tiếng Anh bằng cách ngụy trang thành các trình quản lý tệp, công cụ bảo mật và trình cập nhật phần mềm.
- Các ứng dụng giả mạo:
Phần mềm gián điệp đã được phát hiện trong năm ứng dụng khác nhau:
- 휴대폰 관리자 (Quản lý điện thoại)
- File Manager (com.file.exploer)
- 스마트 관리자 (Quản lý thông minh)
- 카카오 보안 (Bảo mật Kakao)
- Software Update Utility
- Chức năng:
Các ứng dụng cung cấp một số chức năng cơ bản nhưng tải phần mềm gián điệp KoSpy ở chế độ nền. Tuy nhiên, ứng dụng Bảo mật Kakao chỉ hiển thị một cửa sổ hệ thống giả và yêu cầu nhiều quyền mà không cung cấp bất kỳ chức năng hữu ích nào.
- Thu thập dữ liệu:
Khi hoạt động, KoSpy có thể thu thập dữ liệu rộng rãi, bao gồm:
- SMS và nhật ký cuộc gọi
- Vị trí GPS theo thời gian thực
- Tệp từ bộ nhớ trong
- Ghi âm bằng microphone của thiết bị
- Ảnh và video bằng camera của thiết bị
- Chụp màn hình của thiết bị
- Nhật ký gõ phím thông qua dịch vụ nhằm tăng khả năng tiếp cận của Android
- Cơ sở hạ tầng Command and Control (C2):
KoSpy sử dụng một cơ sở hạ tầng C2 hai giai đoạn. Nó lấy một tệp cấu hình được mã hóa từ cơ sở dữ liệu Firebase Firestore, với chứa một công tắc “bật”/”tắt” và địa chỉ máy chủ C2. Cách tiếp cận này cung cấp sự linh hoạt và bền bỉ cho những kẻ tấn công.
- Phân phối:
Phần mềm gián điệp đã được phân phối qua Google Play Store và cửa hàng ứng dụng bên thứ ba APKPure. Tuy nhiên, tất cả các ứng dụng đã được xác định đã bị gỡ bỏ khỏi Google Play, và các dự án Firebase liên quan đã bị xóa.
- Phát hiện và gỡ bỏ:
Người dùng cần phải gỡ cài đặt thủ công các ứng dụng và quét chúng với các công cụ bảo mật để loại bỏ bất kỳ di sản nào của mã độc. Trong những trường hợp nghiêm trọng, khôi phục cài đặt gốc được khuyến nghị. Bật Google Play Protect trên các thiết bị Android cập nhật cũng có thể giúp bảo vệ chống lại KoSpy.
Kết luận
Chiến dịch phần mềm gián điệp KoSpy điểm mạnh của mã độc tinh vi nhắm đến người dùng Android. Việc sử dụng ngôn ngữ vùng miền và các chiến lược phân phối nhắm mục tiêu cho thấy tầm quan trọng của việc cảnh giác trong việc cài đặt ứng dụng và cần thiết phải có các biện pháp bảo mật mạnh mẽ để bảo vệ chống lại những mối đe dọa như vậy.
