Eine Gruppe von Hackern mit Verbindungen zum nordkoreanischen Regime hat Spyware für Android-Geräte in den Google Play-App-Store hochgeladen und konnte einige Personen dazu verleiten, sie herunterzuladen, wie das Cybersicherheitsunternehmen Lookout berichtet.
In einem am Mittwoch veröffentlichten Bericht, der exklusiv vorab mit TechCrunch geteilt wurde, beschreibt Lookout eine Spionagekampagne mit mehreren unterschiedlichen Proben einer Android-Spyware, die das Unternehmen "mit hoher Zuversicht" der nordkoreanischen Regierung zuordnet.
Zumindest eine der Spyware-Apps war zu einem Zeitpunkt im Google Play Store und wurde mehr als 10 Mal heruntergeladen, wie aus einem zwischengespeicherten Schnappschuss der App-Seite im offiziellen Android-App-Store hervorgeht. Lookout hat einen Screenshot der Seite in seinem Bericht eingefügt.
In den letzten Jahren haben nordkoreanische Hacker mit spektakulären Krypto-Diebstählen Schlagzeilen gemacht, wie dem kürzlichen Diebstahl von rund 1,4 Milliarden US-Dollar an Ethereum von der Krypto-Börse Bybit, mit dem Ziel, das verbotene Atomwaffenprogramm des Landes voranzutreiben. In diesem neuen Spyware-Fall deuten jedoch alle Anzeichen darauf hin, dass es sich um eine Überwachungsoperation handelt, basierend auf der Funktionalität der von Lookout identifizierten Spyware-Apps.
Die Ziele der nordkoreanischen Spyware-Kampagne sind unbekannt, aber Christoph Hebeisen, Director of Security Intelligence Research bei Lookout, sagte TechCrunch, dass die Spyware-App mit nur wenigen Downloads wahrscheinlich gezielt bestimmte Personen ansprach.
Laut Lookout sammelt KoSpy "eine umfangreiche Menge sensibler Informationen", darunter: SMS-Textnachrichten, Anrufprotokolle, Standortdaten des Geräts, Dateien und Ordner auf dem Gerät, vom Benutzer eingegebene Tastenanschläge, Details zu Wi-Fi-Netzwerken und eine Liste der installierten Apps. KoSpy kann auch Audio aufzeichnen, Fotos mit den Kameras des Telefons aufnehmen und Screenshots des verwendeten Bildschirms machen.
Lookout stellte auch fest, dass KoSpy auf Firestore angewiesen war, einer Cloud-Datenbank, die auf der Google Cloud-Infrastruktur aufbaut, um "initialen Konfigurationen" abzurufen.
Google-Sprecher Ed Fernandez sagte TechCrunch, dass Lookout seinen Bericht mit dem Unternehmen geteilt hat und "alle identifizierten Apps aus Play entfernt wurden und Firebase-Projekte deaktiviert wurden", einschließlich der KoSpy-Probe, die im Google Play Store war. "Google Play schützt Benutzer automatisch vor bekannten Versionen dieser Malware auf Android-Geräten mit Google Play-Diensten", sagte Fernandez.
Google wollte keine spezifischen Fragen zu dem Bericht beantworten, darunter ob Google der Zuordnung zum nordkoreanischen Regime zustimmt und andere Details zum Lookout-Bericht.
Kontaktieren Sie uns
Haben Sie weitere Informationen zu KoSpy oder anderen Spywaren? Sie können Lorenzo Franceschi-Bicchierai sicher über Signal unter +1 917 257 1382, über Telegram und Keybase @lorenzofb oder per E-Mail kontaktieren. Sie können auch über SecureDrop mit TechCrunch Kontakt aufnehmen.Der Bericht besagt auch, dass Lookout einige der Spyware-Apps auf dem Drittanbieter-App-Store APKPure gefunden hat. Ein Sprecher von APKPure sagte, das Unternehmen habe "keine E-Mail" von Lookout erhalten. Die Person oder Personen, die die E-Mail-Adresse des Entwicklers auf der Google Play-Seite, die die Spyware-App gehostet hat, kontrollieren, haben nicht auf die Anfrage von TechCrunch geantwortet.
Hebeisen von Lookout und Alemdar Islamoglu, Senior Staff Security Intelligence Researcher, sagten TechCrunch, dass Lookout zwar keine Informationen darüber habe, wer konkret angegriffen wurde, jedoch davon überzeugt ist, dass es sich um eine hochgradig gezielte Kampagne handelte, die wahrscheinlich auf Personen in Südkorea abzielte, die Englisch oder Koreanisch sprechen.
Die Einschätzung von Lookout basiert auf den Namen der Apps, die sie gefunden haben, von denen einige auf Koreanisch sind, sowie darauf, dass einige der Apps koreanische Titel haben und die Benutzeroberfläche beide Sprachen unterstützt, so der Bericht. Lookout stellte auch fest, dass die Spyware-Apps Domainnamen und IP-Adressen verwenden, die zuvor in Malware und Command-and-Control-Infrastruktur von nordkoreanischen Regierungs-Hackergruppen APT37 und APT43 identifiziert wurden.
"Das Faszinierende an den nordkoreanischen Bedrohungsakteuren ist, dass sie anscheinend recht häufig erfolgreich sind, Apps in offizielle App-Stores zu bringen", sagte Hebeisen.
