在发现朝鲜精心策划的复杂数字间谍活动后,Android 设备安全再次成为人们关注的焦点。这个错综复杂的阴谋的主角是 KosPy,这是一款伪装成合法应用程序的间谍软件,它成功感染了全球数千部手机,收集了各国用户的个人和机密数据。在这篇详尽的文章中,我们将详细介绍有关 KosPy 的所有信息,包括其来源、分发方法、技术能力、阻止其传播的措施,以及在未来保护自己免受类似威胁的有用建议。
如果您曾经从 Google Play Store 等商店或其他平台下载过应用程序来管理文件或提高 Android 的安全性,那么这对您来说会非常有趣。让我们回顾一下这种间谍软件如何逃避安全控制,它能够收集哪些类型的信息,为什么它被认为是与朝鲜情报有关的威胁,以及如何在为时已晚之前发现警告信号。
KosPy 是什么?其幕后推手是谁?
KosPy 是一种在 Android 设备上检测到的间谍软件程序,与朝鲜国家支持的网络间谍组织直接相关。 专门研究移动设备威胁的网络安全公司 Lookout 团队记录了该恶意软件的存在,并检测到该恶意软件托管在 Google Play 商店和第三方应用商店(如 APKPure)上看似无害的应用程序上。
KosPy 主要归因于一个名为 APT37 或 ScarCruft因其与朝鲜政府十多年来的网络间谍活动而广受认可。不仅如此: KosPy 使用的数字基础设施与另一个著名组织 Kimsuky (APT43) 有联系展现出只有国家行为者才能具备的协调水平和技术资源。
传播方法:KosPy 如何渗透数千台 Android 设备
KosPy 的巧妙之处(和危险性)在于其传播方式,它成功突破了 Google 的严格控制,并像真正的应用程序一样潜入其中。,这一问题使得人们对官方应用商店的信任面临风险。
其中最值得注意的技术包括:
- 伪装成实用工具的欺诈性应用程序 (文件管理器、软件更新实用程序、安全增强功能等)。
- 存在 基本界面和标题均为英文和韩文,针对特定受众。
- 将 KosPy 纳入以下应用程序:手机管家 (电话管理器)”,“文件管理器“”智能管理器 (智能经理)”,“Kakao安全 (Kakao 安全)”和“软件更新实用程序«。它们均在 Google Play Store 上合法获得批准,甚至在 APKPure 上复制。
- 平台操纵 Firebase 作为命令和控制基础设施 (C2)并且在应用程序安装在受害者的设备上后动态下载其他配置。
这些应用程序背后的开发者以“Android Utility Developer”的假名进行操作,甚至提供了联系电子邮件地址以不被注意。 在研究人员发出警报后,谷歌不仅从其商店中删除了所有受感染的应用程序,还禁用了相关的 Firebase 项目,从而切断了受感染设备与网络犯罪分子服务器之间的通信渠道。
KosPy 一旦感染设备会如何行动?
人们对 KosPy 的主要担忧在于它能够收集的数据范围太广,提取方法也太复杂。 当您打开其中一个虚假应用程序时,KosPy 会在后台启动,嵌入其恶意代码以保持不被发现并请求提升的访问权限。
间谍软件最重要的技术能力包括:
- 阅读和泄露短信。
- 获得 通话记录和联系人.
- GPS位置监控,实时用户追踪。
- 打开了 手机本地存储的文件和文件夹.
- 记录 环境音频 使用麦克风并拍摄照片 通过相机.
- 捕获 屏幕截图和屏幕录像,实际上是在监视手机上查看或执行的所有操作。
- 利用辅助功能服务记录按键和应用程序使用情况,这可能会允许拦截密码和凭证。
- 获取有关 设备连接的 WiFi 网络 和 已安装的应用程序列表.
数据以加密方式(使用预定义的 AES 算法)传输到朝鲜黑客控制的 C2 服务器,这使得常规检测很难识别信息泄露。
KosPy 的目标是谁?
尽管 KosPy 已在全球范围内传播,但大多数攻击都针对韩语和英语用户。。应用程序的语言和请求的权限是用来筛选潜在受害者的线索之一,这些受害者显然针对的是韩国和英语国家。然而,分析还详细说明了其他地区的感染情况,包括日本、越南、俄罗斯、尼泊尔、中国、印度、科威特、罗马尼亚和几个中东国家。
这表明 国际层面的战略利益,要么获取相关个人信息,要么监视政治、商业或技术动向。
活动演变和谷歌的反应
KosPy 的首次记录移动可以追溯到 2022 年 XNUMX 月,尽管最近的样本可以追溯到去年年初。。据谷歌和 Lookout 称,一旦确认该恶意软件的存在,所有相关应用程序都会从 Play Store 中删除。此外,Google Play Protect 目前会阻止安装已知的 KosPy 变体,即使是从官方商店之外下载的。
然而, 目前没有公开数据显示在撤回之前有多少次下载,或者有多少变种可能未被发现地传播。。因此,建议积极监控应用程序权限,并让 Android 和所有应用程序保持最新的安全版本更新。
KosPy、ScarCruft (APT37)、Kimsuky (APT43) 与朝鲜情报部门之间的关系
KosPy 被归因于朝鲜国家网络间谍活动,这得到了以下几个技术和基础设施细节的支持:
- 所使用的基础设施(C2 服务器的 IP 地址和域)至少自 2019 年以来就已在朝鲜发动的先前攻击中使用过。
- 恶意应用程序与 ScarCruft/APT37 活动共享技术、策略和程序 (TTP)。
- 部分代码和基础设施也与 Kimsuky/APT43 有关,表明这两个组织之间可能存在合作或资源共享。
- 所窃取信息的语言、区域重点和类型符合朝鲜情报部门的传统利益。
朝鲜 APT 组织之间的攻击方法和目标存在重叠,有时这意味着特定攻击的归属判断并非 100% 准确,但安全专家可以清楚攻击来源。
最相关的受感染应用程序列表
如果您对 Android 上安装的应用程序有疑问,请查看以下名称,这些名称已在 Lookout 报告中得到证实并被媒体报道:
- 휴대폰 관리자(电话管理器)
- 文件管理器
- 스마트 관리자(智能管理器)
- Kakao安全
- 软件更新实用程序
这些应用程序分布在 谷歌Play商店 就像在平台上一样 下载替代方案,例如 APKPure。如果您在设备上发现任何此类问题,请立即删除该应用程序并更改所有密码。还可以使用信誉良好的应用程序运行安全扫描。
KosPy 窃取了什么样的信息?它是如何做到的?
KosPy 的访问级别和收集的数据量远远超过常见的移动恶意软件。提取的信息包括:
- 短信(SMS 以及其他可能的消息服务)
- 通话记录的完整详细信息:号码、时长、时间和日期
- 移动设备实时位置坐标
- 内部存储的文档、图像和文件
- 从麦克风拾取的声音:对话、氛围等。
- 相机在后台启动时拍摄的照片
- 屏幕截图和录音,让您可以查看用户查看或输入的所有内容
- 键盘记录滥用可访问性权限
- Wi-Fi 网络信息和已安装应用程序列表
另外, 所有这些信息都通过受保护的通道加密发送到命令和控制 (C2) 服务器这使得使用传统防病毒工具很难检测到。
避免落入 KosPy 等陷阱的关键提示
在发现 KosPy 后,咨询过的专家和分析师建议要格外小心,因为即使仅从 Google Play 商店安装应用程序也不能保证绝对的安全。提示包括:
- 始终检查应用程序的评论和评级,并对评论很少或评级为负面的应用程序保持警惕。
- 检查开发人员的姓名,查找有关他们的其他信息,并查看他们是否是值得信赖和认可的实体。
- 注意下载次数:如果应用程序是新的或者下载率很低,要格外小心。
- 确保您的操作系统和应用程序始终保持最新,因为大多数安全漏洞都是通过官方补丁修复的。
- 仅向每个应用程序授予必要的权限。如果文件管理应用程序请求访问麦克风或摄像头,则会引起警报。
- 如果您安装了任何已识别的受感染应用程序,请立即删除它们,更改密码,并执行全面的安全检查。
- 考虑安装可信赖的移动安全解决方案,以提高您的保护和持续监控级别。
全球应对措施和当前形势
在媒体广泛报道 KosPy 以及 Lookout 开展调查之后,谷歌加强了其控制和 Play Protect 系统,阻止并删除了该间谍软件的所有已知变种。此外,网络安全公司和科技巨头之间的国际合作是消除这些威胁的关键,防止它们蔓延开来。
自 KosPy 被移除以来,尚未出现通过 Google Play Store 发生大规模感染的新案例,但必须保持警惕,因为攻击者在不断改进他们的技术。
KosPy 的发现凸显了 Android 生态系统中数字间谍活动的日益复杂化,表明没有人能够免于成为受害者。国家行为者与 ScarCruft 和 Kimsuky 等黑客组织之间的合作、对官方商店的利用以及伪装成看似无害的应用程序的能力凸显了保持主动数字保护方法的重要性。
主动监控、许可证的严格分析以及持续更新是抵御这些威胁的最佳屏障。 分享信息以便其他用户了解该新闻。.