Phần mềm gián điệp KoSpy của nhóm ScarCruft: Tin tức mới nhất

17/03/2025
2 mins read
Nội dung
Thông tin về phần mềm gián điệp KoSpy của nhóm ScarCruft
1. Phân loại và Hoạt động:
2. Phân phối và Mục tiêu:
3. Chức năng và Thu thập Dữ liệu:
4. Cấu trúc Command and Control (C2):
5. Xóa bỏ và Bảo vệ:
6. Thách thức trong việc Phân loại:

Thông tin về phần mềm gián điệp KoSpy của nhóm ScarCruft

Bài viết bàn về phần mềm gián điệp Android mới, KoSpy, được cho là thuộc về nhóm đe dọa Bắc Triều Tiên ScarCruft (hay còn gọi là APT37). Dưới đây là những điểm chính:

1. Phân loại và Hoạt động:

  • KoSpy là một công cụ giám sát Android mới được cho là thuộc về nhóm Bắc Triều Tiên APT37 (ScarCruft) với độ tin cậy trung bình.
  • Phần mềm gián điệp này lần đầu tiên được phát hiện vào tháng 3 năm 2022 và vẫn đang hoạt động, với những mẫu mới vẫn được lưu trữ công khai.

2. Phân phối và Mục tiêu:

  • KoSpy giả mạo dưới dạng các ứng dụng tiện ích như “Quản lý Tệp”, “Quản lý Điện thoại”, “Quản lý Thông minh”, “An ninh Kakao” và “Tiện ích Cập nhật Phần mềm” để nhắm đến người dùng nói tiếng Hàn và tiếng Anh.
  • Các ứng dụng đã được phân phối qua Google Play Store và các cửa hàng ứng dụng bên thứ ba như APKPure.

3. Chức năng và Thu thập Dữ liệu:

  • KoSpy có khả năng thu thập dữ liệu đa dạng, bao gồm tin nhắn SMS, nhật ký cuộc gọi, vị trí, tệp, âm thanh và ảnh chụp màn hình thông qua các plugin tải động.
  • Phần mềm gián điệp sử dụng Firebase Firestore để lấy cấu hình ban đầu và đảm bảo thiết bị không phải là trình giả lập và ngày hiện tại đã vượt quá ngày kích hoạt đã mã hóa.

4. Cấu trúc Command and Control (C2):

  • KoSpy sử dụng cơ sở hạ tầng C2 hai giai đoạn, lấy cấu hình ban đầu từ Firebase Firestore và kết nối đến máy chủ C2 thực tế để nhận lệnh.
  • Các miền C2 liên quan đến các miền đáng ngờ trước đây đã được xác định có liên quan đến các hoạt động của Bắc Triều Tiên, bao gồm APT43.

5. Xóa bỏ và Bảo vệ:

  • Tất cả các ứng dụng đã được xác định đều đã bị xóa khỏi Google Play Store, và các dự án Firebase liên quan đã bị Google vô hiệu hóa.
  • Google Play Protect tự động bảo vệ người dùng khỏi các phiên bản đã biết của phần mềm độc hại này trên các thiết bị Android có dịch vụ Google Play.

6. Thách thức trong việc Phân loại:

  • Việc phân loại cho APT37 dựa trên hạ tầng chia sẻ, mục tiêu chung và độ gần gũi trong kết nối, nhưng các tác nhân đe dọa Bắc Triều Tiên thường chồng chéo trong hoạt động của họ, khiến cho việc phân loại trở nên khó khăn hơn.

Chiến dịch gián điệp phần mềm này làm nổi bật tính chất tinh vi và mục tiêu của các hoạt động gián điệp mạng Bắc Triều Tiên, nhấn mạnh sự cần thiết phải duy trì sự cảnh giác liên tục trong bảo mật ứng dụng và tầm quan trọng của các biện pháp an ninh mạng vững chắc.