هکرهای دولت کره شمالی، بدافزار را در فروشگاه اپلیکیشن اندروید مخفی کردند

گروهی از هکرها که به رژیم کره شمالی مرتبط هستند، نرم‌افزارهای جاسوسی اندروید را به فروشگاه اپلیکیشن Google Play بارگذاری کرده و توانستند برخی افراد را به دانلود آن‌ها فریب دهند. این اطلاعات توسط شرکت امنیت سایبری Lookout در گزارشی منتشر شده است.

در این گزارش که روز چهارشنبه منتشر شد و به‌صورت انحصاری با TechCrunch به اشتراک گذاشته شد، Lookout جزئیات یک کمپین جاسوسی را شامل چندین نمونه از نرم‌افزار جاسوسی اندروید به نام KoSpy، که با “اعتماد بالا” به دولت کره شمالی نسبت داده شده، ارائه داده است.

طبق یک تصویر ذخیره شده از صفحه این نرم‌افزار در فروشگاه رسمی اپلیکیشن اندروید، حداقل یکی از برنامه‌های جاسوسی در Google Play قرار داشته و بیش از 10 بار دانلود شده است. Lookout تصویری از این صفحه را در گزارش خود گنجانده است. در سال‌های اخیر، هکرهای کره شمالی به‌ویژه به‌خاطر سرقت‌های جسورانه رمزارزها، مانند سرقت حدود 1.4 میلیارد دلار اتریوم از صرافی رمزارز Bybit، در کانون توجه قرار گرفته‌اند. هدف این اقدامات به‌پیش بردن برنامه‌های هسته‌ای ممنوعه کشور است. با این حال، در مورد این کمپین جدید جاسوسی، همه نشانه‌ها به یک عملیات نظارتی اشاره دارد، که بر اساس عملکرد نرم‌افزارهای جاسوسی شناسایی شده توسط Lookout است.

هدف‌های کمپین جاسوسی کره شمالی هنوز مشخص نیست، اما کریستوف هبیسن، مدیر تحقیقات امنیتی Lookout، به TechCrunch گفت که با توجه به تعداد دانلودها، نرم‌افزار جاسوسی احتمالاً به هدف‌های خاصی حمله کرده است.

بر اساس گزارش Lookout، KoSpy مقدار زیادی اطلاعات حساس را جمع‌آوری می‌کند، از جمله:

• پیام‌های متنی SMS
• گزارش‌های تماس
• داده‌های موقعیت مکانی دستگاه
• فایل‌ها و پوشه‌های موجود در دستگاه
• فشردن کلیدهای وارد شده توسط کاربر
• جزئیات شبکه Wi-Fi
• فهرست برنامه‌های نصب شده

همچنین KoSpy می‌تواند صدا را ضبط کند، عکس بگیرد و از صفحه نمایش تصاویر بگیرد.

Lookout همچنین دریافت که KoSpy به Firestore، یک پایگاه داده ابری ساخته شده بر روی زیرساخت Google Cloud، برای بازیابی “تنظیمات اولیه” وابسته است.

اد فِرناندرز، سخنگوی گوگل، به TechCrunch گفت که Lookout گزارش خود را با این شرکت به اشتراک گذاشته و “تمام برنامه‌های شناسایی شده از فروشگاه Play حذف شده و پروژه‌های Firebase غیرفعال شده‌اند”، از جمله نمونه KoSpy که در Google Play بود.

فِرناندرز افزود: “Google Play به‌طور خودکار از کاربران در برابر نسخه‌های شناخته شده این بدافزار بر روی دستگاه‌های اندرویدی با خدمات Google Play محافظت می‌کند.”

گوگل در مورد یک سری سوالات خاص درباره این گزارش، از جمله اینکه آیا با نسبت‌دادن این حملات به رژیم کره شمالی موافق است یا خیر، اظهارنظر نکرد.

این گزارش همچنین نشان می‌دهد که Lookout برخی از برنامه‌های جاسوسی را در فروشگاه اپلیکیشن شخص ثالث APKPure پیدا کرده است. یک سخنگوی APKPure گفت که این شرکت “هیچ ایمیلی” از Lookout دریافت نکرده است.

شخص یا اشخاص کنترل‌کننده آدرس ایمیل توسعه‌دهنده که در صفحه Google Play میزبان نرم‌افزار جاسوسی ذکر شده است، به درخواست TechCrunch برای اظهارنظر پاسخ ندادند.

کریستوف هبیسن، به همراه علمدار اسلام‌اوغلو، محقق ارشد امنیتی، به TechCrunch گفت که در حالی که Lookout اطلاعاتی درباره اینکه چه کسانی به‌طور خاص هدف قرار گرفته‌اند ندارد، اما این شرکت مطمئن است که این یک کمپین بسیار هدفمند است که احتمالاً به دنبال افراد در کره جنوبی است که به زبان‌های انگلیسی یا کره‌ای صحبت می‌کنند.

ارزیابی Lookout بر اساس نام‌های برنامه‌هایی است که پیدا کرده‌اند، برخی از آن‌ها به زبان کره‌ای است و برخی از برنامه‌ها عنوان‌های زبان کره‌ای دارند و رابط کاربری از هر دو زبان پشتیبانی می‌کند.

علاوه بر این، Lookout همچنین دریافت که برنامه‌های جاسوسی از نام‌های دامنه و آدرس‌های IP استفاده می‌کنند که قبلاً به عنوان موجود در بدافزار و زیرساخت فرمان و کنترل گروه‌های هکری دولتی کره شمالی APT37 و APT43 شناسایی شده‌اند.

کریستوف هبیسن در این باره گفت: “چیزی که در مورد تهدیدکنندگان کره شمالی جذاب است این است که به نظر می‌رسد آن‌ها به‌طور نسبی موفق به قرار دادن نرم‌افزارها در فروشگاه‌های رسمی اپلیکیشن می‌شوند.”