Peneliti cybersecurity di Lookout telah menemukan Kospy, spyware Android yang canggih yang terhubung ke Korea Utara yang telah berhasil menyusup ke Google Play Store. Malware ini disebabkan oleh Scarcruft (APT37), kelompok peretasan Korea Utara, dan menyamarkan dirinya sebagai aplikasi yang sah. Ini menargetkan pengguna Korea dan berbahasa Inggris dan dapat mencuri data sensitif sambil tetap tidak terdeteksi selama berbulan-bulan.
Bagaimana Kospy Meninjau Perangkat
Menurut para peneliti, Kospy menyamarkan dirinya sebagai aplikasi utilitas yang sah di telepon. Lookout telah menemukan setidaknya lima variasi malware yang menyamarkan dirinya sebagai 휴대폰 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 스마트 스마트 관리자 스마트 스마트 관리자 스마트 관리자 관리자 스마트 관리자 관리자 스마트 관리자 스마트 관리자 스마트 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 스마트 스마트 관리자 스마트 관리자 관리자 관리자 스마트 관리자 관리자 관리자 스마트 관리자 관리자 관리자 관리자 스마트 관리자 스마트 관리자 관리자 스마트 관리자 관리자 관리자 스마트 스마트 관리자 스마트 관리자 관리자 카카오 카카오 카카오 카카오 카카오 카카오 카카오 카카오 카카오 카카오 카카오 카카오 카카오
Mengingat nama-nama yang terdengar sah, itu dapat menipu pengguna agar menginstalnya. Setelah diinstal, menunggu aktivasi. Tidak seperti malware khas, Kospy tidak segera memulai kegiatan memata -matai. Itu akan terlalu mencurigakan. Sebaliknya, para peneliti menemukan bahwa spyware Kospy mengandalkan platform yang sah untuk mengambil alamat dan kontrol perintah dan kontrol yang diperbarui (C2).
Hal ini memungkinkan para penyerang dari Korea Utara untuk mengaktifkan, memperbarui, dan memodifikasi spyware dari jarak jauh melalui Google Play dan Firebase Firestore, layanan Google Cloud, tanpa memerlukan interaksi pengguna, membuat deteksi menjadi lebih sulit.
Apa yang bisa dilakukan Kospy
Setelah aktif, Kospy dapat mencuri pesan SMS dan memanggil log. Ini dapat melacak lokasi GPS secara real time, mengakses dan memodifikasi file, merekam audio, mengambil foto, dan menangkap penekanan tombol dan tangkapan layar.
Spyware mengenkripsi data curian menggunakan enkripsi AES sebelum mengirimkannya kembali ke server C2, membuat intersepsi lebih sulit. Selain itu, penyerang dapat menginstal plugin baru dari jarak jauh, memperluas kemampuan memata -matai malware tanpa menyalakan kembali perangkat.
Kospy berbahaya karena sistem C2 -nya lebih maju daripada malware khas. Alih -alih menggunakan kode C2 ke dalam malware itu sendiri, yang biasanya dilakukan malware lain, ia mengambil alamat C2 terbaru dari Firebase Firestore. Ini menggunakan Firebase sebagai relai dan mencegah alat keamanan dari segera mendeteksi lalu lintas berbahaya, terutama karena Google memiliki Firestore, yang membuat permintaan untuk itu terlihat seperti lalu lintas yang sah.
Penyerang juga dapat mematikan atau mengaktifkan kembali spyware dari jarak jauh dan mengubah alamat C2 jika seseorang diblokir. Ini membuat Kospy lebih sulit untuk mengganggu daripada spyware tradisional. Google telah menghapus aplikasi jahat ini, tetapi menimbulkan kekhawatiran tentang keamanan toko aplikasi resmi. Seperti biasa, coba unduh aplikasi dari toko aplikasi yang tepat dan tepercaya jika memungkinkan. Juga, pastikan untuk memeriksa ulasan dan pastikan ponsel Anda memiliki pembaruan keamanan terbaru yang diinstal.
