KosPy: Alles over de Noord-Koreaanse spyware die Android wereldwijd aanviel

  • KosPy is geavanceerde spyware die wordt verspreid via frauduleuze apps in de Google Play Store en alternatieve winkels.
  • De malware werd in verband gebracht met Noord-Koreaanse staatscyberspionagegroepen zoals APT37 (ScarCruft) en APT43 (Kimsuky).
  • Het stal persoonlijke gegevens, berichten, telefoongesprekken en locaties en beheerde belangrijke telefoonfuncties. Het werd geëlimineerd na een waarschuwing van experts van Lookout.
Joaquin Romero

9 minuten

Leer alles over KosPy, de Noord-Koreaanse spyware.

De beveiliging van Android-apparaten staat weer in de schijnwerpers nadat een geavanceerde digitale spionagecampagne werd ontdekt die vanuit Noord-Korea werd georkestreerd. De hoofdpersoon in dit ingewikkelde complot is KosPy, een spyware die, vermomd als legitieme applicaties, duizenden mobiele telefoons over de hele wereld heeft weten te infecteren en persoonlijke en vertrouwelijke gegevens van gebruikers in verschillende landen heeft verzameld. In dit uitgebreide artikel leggen we alles uit wat we weten over KosPy, van de oorsprong, de distributiemethode en de technische mogelijkheden tot de maatregelen die zijn genomen om verspreiding te voorkomen. Ook geven we nuttige aanbevelingen om uzelf in de toekomst te beschermen tegen soortgelijke bedreigingen.

Als u ooit een app hebt gedownload om uw bestanden te beheren of de beveiliging van uw Android te verbeteren via winkels als Google Play Store of alternatieve platforms, dan zal deze app u waarschijnlijk interesseren. Laten we eens kijken hoe deze spyware de veiligheidscontroles heeft omzeild, wat voor soort informatie het kon verzamelen, waarom het wordt gezien als een bedreiging voor de Noord-Koreaanse inlichtingendienst en hoe je waarschuwingssignalen kunt herkennen voordat het te laat is.

Wat is KosPy en wie zit erachter?

KosPy is een spywareprogramma dat op Android-apparaten wordt aangetroffen en rechtstreeks verband houdt met door de Noord-Koreaanse staat gesteunde cyberespionagegroepen. Het bestaan ​​ervan werd gedocumenteerd door het Lookout-team, een cybersecuritybedrijf dat zich specialiseert in bedreigingen voor mobiele apparaten. Zij ontdekten dat deze malware gehost werd op ogenschijnlijk onschuldige apps die verkrijgbaar zijn in zowel de Google Play Store als app stores van derden, zoals APKPure.

Hoe je Live Photos op WhatsApp kunt versturen
Gerelateerd artikel:
WhatsApp waarschuwt voor spyware die de mobiele veiligheid in gevaar brengt

KosPy wordt voornamelijk toegeschreven aan een groep die bekend staat als APT37 of ScarCruft, dat al meer dan tien jaar bekend is om zijn cyberespionageactiviteiten in samenwerking met de Noord-Koreaanse overheid. En niet alleen dat: De digitale infrastructuur die KosPy gebruikt, deelt verbindingen met een andere bekende groep, Kimsuky (APT43), wat een niveau aan coördinatie en technische middelen aantoont dat alleen overheidsactoren zich kunnen veroorloven.

Pas op voor KosPy, de spyware ontwikkeld door Noord-Korea

Distributiemethoden: Zo infiltreerde KosPy duizenden Androids

De grote vindingrijkheid (en het gevaar) van KosPy schuilt in de manier waarop het zich verspreidt. Het is erin geslaagd de strenge controles van Google te omzeilen en binnen te dringen alsof het een echte app is., een probleem dat het vertrouwen in officiële appwinkels in gevaar brengt.

Tot de meest opvallende technieken behoren:

  • Frauduleuze applicaties vermomd als hulpprogramma's (bestandsbeheerders, hulpprogramma's voor software-updates, beveiligingsverbeteringen, enz.).
  • Aanwezigheid van Basisinterfaces en titels in het Engels en Koreaans, die zich richt op een specifiek publiek.
  • KosPy opnemen in apps zoals «Mobiele telefoonbeheerder (telefoonbeheerder)», «file Manager' "Slimme Manager (slimme manager)», «Kakao-beveiliging (Kakao Security)» en «Hulpprogramma voor software-updates«. Ze zijn allemaal legitiem goedgekeurd in de Google Play Store en zelfs gekopieerd op APKPure.
  • Platformmanipulatie Firebase als een command-and-control-infrastructuur (C2) en om dynamisch aanvullende configuraties te downloaden zodra de app op het apparaat van het slachtoffer is geïnstalleerd.

De ontwikkelaars achter deze apps opereerden onder het pseudoniem 'Android Utility Developer' en gaven zelfs contact-e-mailadressen door om onopgemerkt te blijven. Naar aanleiding van de waarschuwing van de onderzoekers heeft Google niet alleen alle geïnfecteerde apps uit de winkel verwijderd, maar ook de bijbehorende Firebase-projecten uitgeschakeld. Daarmee is het communicatiekanaal tussen de gecompromitteerde apparaten en de servers van de cybercriminelen afgesloten.

Hoe gedraagt ​​KosPy zich als het apparaat geïnfecteerd is?

De belangrijkste zorgen rondom KosPy zijn de grote verscheidenheid aan gegevens die het kan verzamelen en de verfijning van de extractiemethoden. Wanneer u een van deze nep-apps opent, start KosPy op de achtergrond en implementeert het schadelijke code om onopgemerkt te blijven. Ook vraagt ​​het om hogere toegangsrechten.

Tot de belangrijkste technische mogelijkheden van spyware behoren:

  • Lezen en exfiltreren van SMS-berichten.
  • Getting oproeplogboeken en contacten.
  • GPS-locatiebewaking, realtime gebruikersregistratie.
  • Ingeschakeld bestanden en mappen die lokaal op de telefoon zijn opgeslagen.
  • Vastleggen van omgevingsaudio het gebruik van de microfoon en het maken van foto's door de camera.
  • Vangst van screenshots en schermopnamesletterlijk alles bespioneren wat iemand op de mobiele telefoon bekijkt of doet.
  • Het registreren van toetsaanslagen en app-gebruik door gebruik te maken van toegankelijkheidsservices, waardoor wachtwoorden en inloggegevens onderschept kunnen worden.
  • Informatie verkrijgen over WiFi-netwerken waarmee het apparaat verbinding maakt en lijst met geïnstalleerde applicaties.

De gegevens worden versleuteld (met behulp van een vooraf gedefinieerd AES-algoritme) verzonden naar C2-servers die worden beheerd door Noord-Koreaanse hackers. Hierdoor is het voor conventionele detectie moeilijk om het informatielek te identificeren.

Op wie richtte KosPy zich?

Hoewel KosPy zich wereldwijd heeft verspreid, waren de meeste aanvallen gericht op Koreaanse en Engelstalige gebruikers.. De taal van de apps en de gevraagde toestemmingen waren enkele van de aanwijzingen die werden gebruikt om potentiële slachtoffers eruit te filteren. Zij richtten zich duidelijk op Zuid-Korea en Engelstalige landen. De analyses geven echter ook informatie over infecties in andere regio's, waaronder Japan, Vietnam, Rusland, Nepal, China, India, Koeweit, Roemenië en verschillende landen in het Midden-Oosten.

Dit duidt op een strategisch belang op internationaal niveau, hetzij om toegang te krijgen tot relevante persoonlijke informatie, hetzij om politieke, zakelijke of technologische bewegingen te bespioneren.

Gebruik Airtag om een ​​Android-mobiel te bespioneren
Gerelateerd artikel:
Gebruik Airtag om een ​​Android-mobiel te bespioneren

Campagne-evolutie en de reactie van Google

De eerste gedocumenteerde verplaatsing van KosPy dateert van maart 2022, hoewel de meest recente monsters dateren van begin vorig jaar.. Volgens Google en Lookout werden alle gerelateerde apps uit de Play Store verwijderd nadat het bestaan ​​van de malware was bevestigd. Daarnaast blokkeert Google Play Protect momenteel de installatie van bekende KosPy-varianten, zelfs als deze buiten de officiële winkel zijn gedownload.

Echter Er zijn geen openbare gegevens over hoeveel downloads er vóór de terugtrekking plaatsvonden of hoeveel varianten er onopgemerkt in omloop waren.. Daarom is het raadzaam om app-machtigingen actief te controleren en Android en alle apps up-to-date te houden met de nieuwste beveiligingsversies.

Relatie tussen KosPy, ScarCruft (APT37), Kimsuky (APT43) en de Noord-Koreaanse inlichtingendienst

De toeschrijving van KosPy aan Noord-Koreaanse staatscyberspionage wordt ondersteund door verschillende technische en infrastructurele details:

  • De gebruikte infrastructuur (IP-adressen en domeinen voor C2-servers) is al sinds 2019 gebruikt bij eerdere aanvallen die aan Noord-Korea worden toegeschreven.
  • Kwaadaardige applicaties delen technieken, tactieken en procedures (TTP's) met ScarCruft/APT37-campagnes.
  • Een deel van de code en infrastructuur is ook gelinkt aan Kimsuky/APT43, wat wijst op een mogelijke samenwerking of het delen van middelen tussen de twee groepen.
  • De taal, de regionale focus en het type gestolen informatie sluiten aan bij de interesses die traditioneel geassocieerd worden met de Noord-Koreaanse inlichtingendienst.

Deze overlapping in methoden en doelstellingen van Noord-Koreaanse APT-groepen betekent soms dat het niet 100% zeker is dat een specifieke aanval wordt toegeschreven, maar voor veiligheidsexperts is de bron duidelijk.

Lijst met de meest relevante geïnfecteerde applicaties

Als u vragen hebt over apps die u op uw Android-apparaat hebt geïnstalleerd, bekijk dan deze namen, die zijn bevestigd in Lookout-rapporten en waarover in de media is bericht:

  • 휴대폰 관리자 (Telefoonbeheer)
  • file Manager
  • Systeembeheer (Smart Manager)
  • Kakao-beveiliging
  • Hulpprogramma voor software-updates

Deze apps werden verspreid in Google Play Store zoals op platforms download alternatieven, zoals APKPure. Als u een van deze gevaren op uw apparaat aantreft, verwijder dan onmiddellijk de app en wijzig alle wachtwoorden. Voer ook een beveiligingsscan uit met een betrouwbare app.

Gerelateerd artikel:
XNSPY, de beste spionagesoftware voor uw smartphone

Welke informatie heeft KosPy gestolen en hoe heeft het dat gedaan?

De mate van toegang en de omvang van de door KosPy verzamelde gegevens overtreffen ruimschoots de norm voor gangbare mobiele malware. Onder de geëxtraheerde informatie bevinden zich:

  • Tekstberichten (SMS en eventueel andere berichtendiensten)
  • Volledige details van oproeplogboeken: nummers, duur, tijd en datum
  • Coördinaten van de positie van de mobiele telefoon in realtime
  • Documenten, afbeeldingen en bestanden uit de interne opslag
  • Geluiden die via de microfoon worden opgevangen: gesprekken, sfeer, etc.
  • Foto's gemaakt terwijl de camera op de achtergrond actief was
  • Schermafbeeldingen en -opnames, zodat u alles kunt zien wat de gebruiker heeft bekeken of getypt
  • Keylogging misbruikt toegankelijkheidsrechten
  • Informatie over het wifi-netwerk en lijst met geïnstalleerde apps

Bovendien heeft Al deze informatie werd gecodeerd naar de command and control (C2)-servers verzonden via beveiligde kanalenwaardoor ze moeilijk te detecteren waren met traditionele antivirusprogramma's.

Belangrijke tips om te voorkomen dat u in valkuilen zoals KosPy stapt

Deskundigen en analisten die zijn geraadpleegd na de ontdekking van KosPy, raden aan uiterst voorzichtig te zijn. Zelfs het installeren van apps uitsluitend via de Google Play Store garandeert namelijk geen absolute veiligheid. Tips zijn onder meer:

  • Controleer altijd de recensies en beoordelingen van apps, en wees op uw hoede voor apps met weinig commentaar of negatieve beoordelingen.
  • Controleer de naam van de ontwikkelaar, zoek naar aanvullende informatie over hem of haar en kijk of het een vertrouwde en erkende entiteit is.
  • Let op het aantal downloads: als de app nieuw is of erg laag is in downloadsnelheid, wees dan extra voorzichtig.
  • Zorg ervoor dat uw besturingssysteem en applicaties altijd up-to-date zijn, aangezien de meeste beveiligingslekken worden gedicht met officiële patches.
  • Geef alleen de essentiële machtigingen aan elke app. Als een bestandsbeheerapplicatie toegang vraagt ​​tot de microfoon of camera, is dit reden tot ongerustheid.
  • Als u een van de geïnfecteerde apps hebt geïnstalleerd, verwijder deze dan onmiddellijk, wijzig uw wachtwoorden en voer een volledige beveiligingscontrole uit.
  • Overweeg de installatie van een betrouwbare mobiele beveiligingsoplossing om uw beveiligingsniveau en continue bewaking te verhogen.

De wereldwijde respons en de huidige situatie

Naar aanleiding van de brede media-aandacht voor KosPy en het onderzoek geleid door Lookout, heeft Google zijn controles en Play Protect-systeem verscherpt en alle bekende varianten van deze spyware geblokkeerd en verwijderd. Bovendien is internationale samenwerking tussen cybersecuritybedrijven en technologiegiganten essentieel om deze bedreigingen onschadelijk te maken voordat ze zich wijdverspreid verspreiden.

Sinds de verwijdering van KosPy zijn er geen nieuwe gevallen van massale infectie via de Google Play Store meer gemeld. Toch is het belangrijk om waakzaam te blijven, omdat aanvallers hun technieken voortdurend doorontwikkelen.

De ontdekking van KosPy onderstreept de toenemende verfijning van digitale spionage binnen het Android-ecosysteem en toont aan dat niemand immuun is voor cyberaanvallen. De samenwerking tussen overheidsactoren en hackersgroepen als ScarCruft en Kimsuky, de exploitatie van officiële winkels en de mogelijkheid om zichzelf te vermommen als ogenschijnlijk onschuldige apps benadrukken het belang van een proactieve aanpak van digitale beveiliging.

Hoe u uw Android in een spionagecamera kunt veranderen
Gerelateerd artikel:
Hoe u uw Android in een spionagecamera kunt veranderen

Actieve monitoring, kritische analyse van vergunningen en voortdurende updates vormen de beste barrières tegen deze bedreigingen. Deel de informatie zodat andere gebruikers op de hoogte zijn van het nieuws..


Volg ons op Google Nieuws