نفوذ جاسوسافزار به پلیاستور گوگل؛ پای کره شمالی در میان است؟
نفوذ جاسوسافزار به پلیاستور گوگل؛ پای کره شمالی در میان است؟
گروهی از هکرهای مرتبط با دولت کره شمالی، موفق شدند برنامههایی آلوده به جاسوسافزار را در گوگلپلی منتشر کنند. طبق گزارش شرکت امنیت سایبری Lookout، این کمپین شامل چندین نمونه از جاسوسافزار اندرویدی KoSpy بود و حداقل یکی از این برنامهها قبل از حذفشدن، بیش از ۱۰ بار دانلود شد.
Lookout با اطمینان زیاد جاسوسافزار KoSpy را به رژیم کره شمالی نسبت میدهد. این بدافزار اطلاعات حساسی را از دستگاههای آلوده جمعآوری میکند؛ ازجمله پیامهای متنی، سوابق تماس، موقعیت مکانی، کلیدهای فشردهشده و فهرست برنامههای نصبشده. علاوهبراین، KoSpy میتواند صدا ضبط کند و عکس بگیرد و از صفحهنمایش دستگاه اسکرینشات تهیه کند. به گفتهی Lookout، این جاسوسافزار از Firestore، دیتابیس جزو خدمات ابری گوگل، برای دریافت تنظیمات پیکربندی استفاده میکرد.
اد فرناندز، سخنگوی گوگل، تأیید کرد که تمام برنامههای شناساییشدهی حاوی جاسوسافزار یادشده از گوگلپلی حذف و پروژههای مرتبط با Firebase نیز غیرفعال شدهاند. فرناندز توضیح داد که ابزار Google Play Protect در گوشیهای مجهز به Google Play Services، بهطور خودکار از کاربران در برابر نسخههای شناختهشدهی این بدافزار حفاظت میکند. بااینحال، گوگل دربارهی تأیید یا رد ارتباط این جاسوسافزار با دولت کره شمالی اظهارنظری نکرد.
به نظر میرسد کمپین جاسوسی اخیر کره شمالی بسیار هدفمند بوده است. محققان Lookout معتقدند که قربانیان احتمالی افرادی در کره جنوبی بودهاند که به زبان انگلیسی یا کرهای مسلط هستند. این ارزیابی براساس نام برنامهها و رابط کاربری کرهای و دامنهها و آدرسهای IP مرتبط با گروههای هکری کره شمالی APT37 و APT43 انجام شده است.
بدافزار چیست و چگونه میتوان از آنها جلوگیری کرد؟
بهترین آنتی ویروس اندروید؛ معرفی آنتی ویروس هایی که باید همین الان نصب کنید
KoSpy علاوهبر گوگلپلی، در فروشگاههای شخص ثالث مانند APKPure شناسایی شد. سخنگوی APKPure اعلام کرد که این شرکت تماسی از Lookout دربارهی این جاسوسافزار دریافت نکرده است. همچنین، توسعهدهندهی برنامهی آلوده که ایمیلش در صفحهی گوگلپلی درج شده بود، به درخواست رسانهی TechCrunch برای اظهارنظر پاسخی نداد.
حملات سایبری کره شمالی اغلب صرافیهای ارز دیجیتال و مؤسسههای مالی را هدف قرار دادهاند. بهعنوان مثال، این کشور اخیراً حدود ۱٫۴ میلیارد دلار اتریوم را از صرافی رمزارزی Bybit زدیده است. بااینحال، یافتههای Lookout نشان میدهد که هدف کمپین KoSpy بیشتر بر جاسوسی و نظارت متمرکز بوده است و نه سرقت مالی.
