Kaikki KoSpystä: pohjoiskorealaisesta vakoiluohjelmasta, joka uhkaa Androidia

  • KoSpy onnistui soluttautumaan Google Play Kauppaan esiintymällä laillisina sovelluksina.
  • Sen soveltamisala on rajoitettu ja se on kohdistettu hyvin erityisiin tavoitteisiin erityisesti Etelä-Koreassa.
  • Vakoiluohjelmat voivat vakoilla viestejä, puheluita ja jopa tallentaa ääntä tai ottaa kuvakaappauksia.
  • Google poisti haitalliset sovellukset tutkijoiden varoituksen jälkeen, mutta vaara on edelleen olemassa.
Joaquin Romero

10 minuuttia

Mikä on KoSpy, Pohjois-Korean hallituksen mainostama tietoja varastava haittaohjelma?

Mobiilikyberturvallisuusympäristössä eletään myrskyisiä aikoja. saatuaan tietää KoSpyn olemassaolosta ja toiminnasta. Se on kehittynyt korealainen vakoiluohjelma, joka on suunniteltu erityisesti Android-laitteille. Teknologiaturva-alalla on nostettu hälytys, koska maailman johtavan sovelluskaupan Google Play Storen ohjauksista huolimatta tämä vakoiluohjelma on onnistunut tavoittamaan käyttäjät ilman epäilyksiä. Tietoturvaasiantuntijat, hallitukset ja yksityiset tahot analysoivat ongelman suuruutta ja etsivät ratkaisuja uhkaan, joka on horjuttanut miljoonien käyttäjien luottamusta.

KoSpyn tarina ja sen äskettäinen esiintyminen Android-puhelimissa ei ole vain yksittäinen haittaohjelmatapaus., mutta paradigmaattinen esimerkki siitä, kuinka kyberrikolliset kehittyvät ja löytävät vaihtoehtoisia tapoja kiertää edistyneimmät turvallisuusesteet. Kampanja on ollut erityisen hienostunut, ja se on piilottanut tarkoituksensa näennäisesti vaarattomien sovellusten taakse ja käyttämällä modernia infrastruktuuria, kuten Firebasea, ohjaukseen ja viestintään. Siksi on tärkeää ymmärtää perusteellisesti, miten se toimii, keneen se on vaikuttanut ja mitä voidaan tehdä vastaavien riskien välttämiseksi tulevaisuudessa.

Mikä on KoSpy ja kuka sen takana on?

KoSpy on vakoiluohjelma, joka on erityisesti suunniteltu tartuttamaan Android-laitteita, joiden tarkoituksena on valvoa ja varastaa luottamuksellisia tietoja käyttäjiltä, ​​joita asia koskee. Johtavien kyberturvayritysten, kuten Lookoutin, tutkimus on osoittanut, että tämä vakoiluohjelma liittyy APT37-ryhmään. Tunnetaan myös nimellä ScarCruft, kyberrikollisten ryhmä Pohjois-Korean hallituksen tukemana ja aktiivinen raporttien mukaan vuodesta 2012.

Tällä ryhmällä on hyvin dokumentoitu kokemus kybervakoilukampanjoista. pääasiassa Etelä-Koreaan. Vaikka he ovat ajan mittaan laajentaneet toiminta-aluettaan muihin maihin, mukaan lukien Japani, Vietnam, Venäjä, Nepal, Kiina, Intia, Kuwait, Romania ja useat Lähi-idän maat. Tunnustaminen Pohjois-Korean hallitukselle on vahvistettu ristiviittauksilla ja käytetyn infrastruktuurin analysoinnilla, mukaan lukien Pohjois-Korean hallitukseen liittyvät IP-osoitteet.

Mobiilivirusvaroitus
Aiheeseen liittyvä artikkeli:
Täydellinen opas haittaohjelmien poistamiseen Androidista: menetelmät, oireet ja lisäsuojaus

KoSpy, pohjoiskorealainen haittaohjelma, joka on asennettu Google Play Kaupan sovelluksiin

Jakelutapa: Play Kaupasta matkapuhelimeesi

Huolestuttavin asia KoSpyssä ei ole vain sen tekniset ominaisuudet, vaan myös tapa, jolla se on onnistunut laajentumaan kansainvälisesti. Toisin kuin muut troijalaiset tai haittaohjelmat, jotka tartuttavat epäilyttävien sivujen tai vaarallisten linkkien kautta käyttäjien huolimattomuuteen. KoSpy päätti jakaa itsensä Googlen virallisen Play Kaupan kautta.. Tämä toimenpide on aiheuttanut vakavan iskun Googlen maineelle ja kyseenalaistanut sen automaattiset tunnistus- ja manuaaliset tarkistusjärjestelmät.

Kyberrikolliset onnistuivat lataamaan jopa viisi vilpillistä sovellusta. Kaikki ne esitetään perustyökaluina ja yleisnimillä, kuten "Tiedostonhallinta''Kakaon turvallisuus'tai'Ohjelmiston päivitysapuohjelma'. Nämä vaarattomalta vaikuttavat sovellukset, joissa oli vain vähän tai jopa olemattomia toimintoja, onnistuivat läpäisemään Googlen suojaussäädöt, koska ne eivät osoittaneet alkuperäisessä koodissaan mitään epänormaalia toimintaa.

Lisäksi on tiedetty, että Haitalliset sovellukset käyttivät myös kolmannen osapuolen palveluita, kuten Firebasea, päivittääkseen ja kommunikoidakseen ohjauspalvelimien kanssa.. Googlen omistama Firebase on pilvialusta, jota miljoonat kehittäjät käyttävät tietojen tallentamiseen ja sovellusprojektien hallintaan. Sen käyttö KoSpy-kampanjassa osoittaa, kuinka hyvin hyökkääjät navigoivat Android-ekosysteemissä ja kuinka hyvin he tuntevat sen työkalut.

Miten KoSpy toimii asennuksen jälkeen?

KoSpyn toiminta on suunnattu mahdollisimman paljon tietoa ja saada mahdollisimman paljon tietoa varoittamatta käyttäjää. Kun jokin näistä vilpillisistä sovelluksista asennetaan ja käynnistetään, haitallinen komponentti aktivoituu ja pysyy piilossa taustalla. Siitä hetkestä lähtien KoSpy muodostaa salatun yhteyden hyökkääjien hallitsemiin etäpalvelimiin, jolloin se voi vastaanottaa uusia ohjeita, ladata lisämoduuleja ja säätää käyttäytymistään aiotun kohteen mukaan.

KoSpyn vahvistettujen ominaisuuksien joukossa ovat:

  • SMS-viestien sieppaus ja lukeminen, mikä mahdollistaa yksityisten keskustelujen valvonnan ja jopa kaksivaiheisten todennuskoodien sieppaamisen.
  • Pääsy puhelulokeihin, joiden avulla voit tietää kuka soittaa, kuinka kauan ja mistä.
  • Tarkka reaaliaikainen laitteen sijainti, joka mahdollistaa kohdekäyttäjän sijainnin ja liikkeiden seurannan.
  • Pääsy laitteelle tallennettuihin tiedostoihin ja kansioihin, mikä helpottaa asiakirjojen, valokuvien tai sisäisesti tallennettujen tietojen varastamista.
  • Äänen tallennus mikrofonin kautta ja kuvien tai videoiden kaappaaminen puhelimen kameroilla tarjoten hyökkääjille täydelliset valvontatyökalut.
  • Kuvakaappaukset ja näyttötallenteet ovat erityisen arkaluonteisia, jos käyttäjä käyttää pankki- tai yritystietoja tai syöttää salasanoja.
  • Näppäilyn kirjaus (keylogger), joka paljastaa salasanat ja kirjautumistiedot tärkeille tileille.
  • Tietojen kerääminen Wi-Fi-verkosta ja kaikista asennetuista sovelluksista, mikä laajentaa vakoilun soveltamisalaa muihin liittyviin tileihin.
Vapor on uusi haittaohjelma, joka varastaa pankkitietoja Androidissa.
Aiheeseen liittyvä artikkeli:
Vapor: Android-haittaohjelma, joka varastaa pankkitietoja ja kuinka välttää se

Tämä kattava ominaisuussarja näyttää miksi KoSpy on yksi vaarallisimmista Androidissa viime aikoina havaituista vakoiluohjelmista.. Huolestuttavaa on myös mahdollisuus, että haitalliset sovellukset ovat saaneet etäpäivityksiä uusilla ominaisuuksilla, jotka mukautuvat hyökkääjien etuihin reaaliajassa.

Keihin KoSpy-kampanja on vaikuttanut?

Huolimatta siitä, miltä näyttää sen läsnäolosta Play Kaupassa, KoSpy-kampanja ei ollut massiivinen, mutta se oli suunnattu hyvin tiettyihin uhreihin.. Lookout-raporttien ja Google Playn omien lataustietojen mukaan "menestynein" sovellus ('File Manager – Android') onnistui hädin tuskin ylittämään kymmenen latausta. Tämä ei tarkoita, että riski olisi pienempi, vaan tarkoituksena oli pikemminkin välttää epäilysten herättämistä ja kiinnostuneiden ihmisten – virkamiesten, avainyritysten jäsenten, diplomaattien, toimittajien tai aktivistien – laitteisiin pääsyä.

Kohdistus oli todennäköisesti personoitua käyttämällä manipulointia tai ulkoisia viittauksia kannustamaan heitä asentamaan tartunnan saaneet sovellukset. Sovellusten kieli (korea ja englanti) viittaa myös siihen, että painopiste oli eteläkorealaisissa käyttäjissä.Vaikka ScarCruft on aiemmin toiminut useissa maissa, ei ole poissuljettua, että uhreja on ollut muilla alueilla, kuten Japanissa, Vietnamissa tai jopa Euroopassa.

Osa kampanjan tehokkuudesta johtui liiallisesta luottamuksesta viralliseen sovelluskauppaan. Hyökkääjät pystyivät hyödyntämään Google Playn vahvaa mainetta saadakseen sovelluksensa näyttämään laillisilta jopa kyberturvallisuuskoulutuksen saaneille käyttäjille. Tämä osoittaa, kuinka helppoa voi olla pudota ansaan, vaikka ohjelmiston tuen oletetaan olevan suuri teknologiatoimittaja.

Googlen reaktio ja toimenpiteet

Kuinka suojautua KoSpyltä

Heti kun KoSpyn olemassaolo tuli tunnetuksi, hälytyskellot soivat nopeasti Googlessa ja alan suurimpien toimijoiden keskuudessa. Lookout varoitti Googlea jo ennen tulosten julkaisemista, ja onneksi vastaus oli välitön: Kaikki asiaan liittyvät sovellukset on poistettu Play Kaupasta ja niihin liittyvät projektit on poistettu käytöstä Firebasessa..

Samoin Google Play Protect (Android-puhelimiin sisäänrakennettu suojajärjestelmä) on päivitetty tunnistamaan ja estämään kaikki tunnetut KoSpy-versiot. Tämä suojaus estää nyt jo tunnistettujen sovellusten asentamisen, mutta myös muiden, jotka voivat käyttää samaa haittakoodia tulevaisuudessa.

On kuitenkin tärkeää korostaa, että kaikki käytetyt ratkaisut ovat reaktiivisia, eivät ennakoivia. Toisin sanoen ne syntyvät sen jälkeen, kun uhka on havaittu ja siten sen jälkeen, kun jotkut laitteet ovat jo saaneet tartunnan.

Yksi tutkinnan silmiinpistävimmistä yksityiskohdista oli haittasovellusten väitetyn kehittäjän jättämä jälki.. Kaikki ne liittyivät yritykseen "Android Utility Developer" ja sähköpostitiliin mlyqwl@gmail.com. Nämä tiedot on estetty ja poistettu, mutta ne korostavat silti tarvetta parantaa kehittäjien tunnistamista ja validointia Google Play Kaupassa.

Muut jakelureitit ja tulevaisuuden riskit

Play Kaupan lisäksi joitakin KoSpy-tartunnan saaneita sovelluksia havaittiin vaihtoehtoisista kaupoista, kuten APKPure. Tämä ei ole yksittäistapaus: kyberrikolliset etsivät yhä enemmän uusia jakelukanavia hyödyntäen Android-ekosysteemin pirstoutumista ja sovellustarjonnan hajauttamista.

Suojaa Fire TV ja Google TV haittaohjelmilta: tärkeimmät vinkit
Aiheeseen liittyvä artikkeli:
Kattava opas Fire TV:n ja Google TV:n suojaamiseen haittaohjelmilta ja verkkouhilta

KoSpy-kotelo toimii varoituksena käyttäjille, jotta he pysyisivät valppaina eivätkä anna vartioitaan.. Jopa silloin, kun he lataavat sovelluksia sellaisista tunnetuista lähteistä kuin Google Play. Kybervakoiluryhmien, erityisesti valtioiden tukemien ryhmien, kehittyneisyys viittaa siihen, että tulemme näkemään samanlaisia ​​hyökkäyksiä tulevaisuudessa, joissa käytetään yhä kehittyneempiä tekniikoita, joita on vaikea havaita paljaalla silmällä.

Kuinka suojautua KoSpyn kaltaisilta uhilta?

Jotta et joutuisi kehittyneiden vakoiluohjelmien, kuten KoSpyn, uhriksi, on tärkeää noudattaa tiettyjä hyviä digitaalisia tietoturvakäytäntöjä, kun käytät Android-laitteita päivittäin. Tässä on joitain keskeisiä suosituksia:

  • Lataa vain sovelluksia hyvämaineisilta kehittäjiltä, ​​joilla on vahvistetut arviot Google Playsta. Varo sovelluksia, joissa on vähän latauksia, yleisiä arvosteluja tai ei lainkaan kehittäjätietoja.
  • Pidä järjestelmäsi ja kaikki sovelluksesi ajan tasalla. Päivitykset sisältävät usein tietoturvakorjauksia äskettäin löydettyjä haavoittuvuuksia varten.
  • Aktivoi Google Play Protect ja suorita asennettujen sovellusten säännöllinen tarkistus.
  • Vältä sovellusten asentamista kolmannen osapuolen liikkeistä tai Internetistä ladatuista APK-tiedostoista, elleivät ne ole täysin luotettavista lähteistä.
  • Tarkista sovellusten pyytämät käyttöoikeudet. Jos laskinsovellus pyytää pääsyä mikrofoniisi tai kameraasi, ole epäluuloinen ja etsi vaihtoehtoja.
  • Jos olet ammattilainen tai sinulla on pääsy arkaluonteisiin tietoihin, vahvista suojatoimenpiteitäsi. Harkitse edistyneiden tietoturvaratkaisujen tai kyberturvallisuuskonsultointipalvelujen käyttöä.

Oppitunteja ja mitä KoSpy paljastaa nykypäivän kyberturvallisuudesta

KoSpyn ilmestyminen on ollut herätys kaikille Android-ekosysteemin pelaajille. Yksittäisistä käyttäjistä sovellusten kehittäjiin ja yritysten tietoturvapäälliköihin kaikkien on oltava tietoisempia kehittyneiden uhkien todellisuudesta. Google on omalta osaltaan pakotettu parantamaan sovellusten havaitsemis-, tarkistus- ja valvontajärjestelmiään sekä reagointia maailmanlaajuisiin tapauksiin.

Tapaus paljastaa, kuinka haavoittuvia kaikkein vankimmatkin turvamekanismit voivat olla.. Jos hyökkääjillä on resurssit, kärsivällisyys ja älykkyys voittaa ne. Se osoittaa myös, että edistyneet uhat eivät yleensä ole suunnattu massatartuntaan, vaan pikemminkin haetaan tietoa ja hallintaa hyvin erityisistä uhreista, mikä vaatii äärimmäistä valppautta sekä yksilö- että yritystasolla.

Haittaohjelma hyökkäsi Androidiin
Aiheeseen liittyvä artikkeli:
SpyLend: Näin Android-käyttäjiin kohdistuva kiristyshaittaohjelma toimii.

KoSpy-tarina on jälleen yksi esimerkki siitä, kuinka kyberuhkien kehittyneisyys kehittyy samaa tahtia tekniikan kanssa. Sen kyky tunkeutua Play Kauppaan sekä valvoa ja varastaa arkaluontoisia tietoja osoittaa, että riippumatta siitä, kuinka turvallisina pidämme meitä, paras puolustus on yhdistelmä ennaltaehkäisyä, varovaisuutta sekä digitaalisten turvajärjestelmien ja tietojemme jatkuvaa päivittämistä. Jaa nämä tiedot, jotta muut käyttäjät tietävät aiheesta.