KosPy: הכל על תוכנות הריגול הצפון קוריאניות שתקפו את אנדרואיד ברחבי העולם

  • KosPy היא תוכנת ריגול מתקדמת המופצת באמצעות אפליקציות הונאה בחנות Google Play ובחנויות חלופיות.
  • הנוזקה נקשרה לקבוצות ריגול סייבר המנוהלות על ידי המדינה בצפון קוריאה, כגון APT37 (ScarCruft) ו-APT43 (Kimsuky).
  • היא הסתננה מידע אישי, הודעות, שיחות ומיקום, ושלטה על פונקציות טלפון קריטיות, וחוסלה לאחר התראה ממומחי Lookout.
Joaquin Romero

9 דקות

למד הכל על KosPy, תוכנת הריגול הצפון קוריאנית.

אבטחת מכשירי אנדרואיד חזרה לאור הזרקורים לאחר גילוי קמפיין ריגול דיגיטלי מתוחכם שתוכנן בצפון קוריאה. גיבורת העלילה המורכבת הזו היא KosPy, תוכנת ריגול אשר, במסווה של אפליקציות לגיטימיות, הצליחה להדביק אלפי טלפונים ניידים ברחבי העולם, ואספה נתונים אישיים וסודיים ממשתמשים במדינות שונות. במאמר מקיף זה, נפרט את כל מה שאנחנו יודעים על KosPy, החל ממקורו, שיטת ההפצה והיכולות הטכניות שלו ועד לאמצעים שננקטו כדי לעצור את התפשטותו, יחד עם המלצות מועילות להגנה מפני איומים דומים בעתיד.

אם אי פעם הורדת אפליקציה לניהול הקבצים שלך או לשיפור האבטחה של האנדרואיד שלך מחנויות כמו חנות גוגל פליי או פלטפורמות חלופיות, זה מאוד מעניין אותך. בואו נסקור כיצד תוכנת ריגול זו התחמקה מבקרות אבטחה, איזה סוג מידע היא הצליחה לאסוף, מדוע היא נחשבת לאיום המקושר למודיעין הצפון קוריאני, וכיצד לזהות סימני אזהרה לפני שיהיה מאוחר מדי.

מה זה KosPy ומי עומד מאחוריו?

KosPy היא תוכנת ריגול שזוהתה במכשירי אנדרואיד ומקושרת ישירות לקבוצות ריגול קיברנטי הנתמכות על ידי המדינה בצפון קוריאה. קיומה תועד על ידי צוות Lookout, חברת אבטחת סייבר המתמחה באיומי מכשירים ניידים, שזיהתה כי תוכנה זדונית זו אוחסנה באפליקציות לכאורה לא מזיקות, הזמינות הן בחנות Google Play והן בחנויות אפליקציות של צד שלישי, כגון APKPure.

כיצד לשלוח תמונות חיות בוואטסאפ
Artaculo relacionado:
WhatsApp מזהירה מפני תוכנות ריגול שפוגעות באבטחת הסלולר

KosPy מיוחס בעיקר לקבוצה המכונה APT37 או ScarCruft, המוכרת באופן נרחב בזכות פעולות הריגול הקיברנטי שלה המקושרות לממשלת צפון קוריאה במשך יותר מעשור. לא רק זה: התשתית הדיגיטלית בה משתמש KosPy חולקת קשרים עם קבוצה מפורסמת אחרת, Kimsuky (APT43), מה שמדגים רמת תיאום ומשאבים טכניים שרק גורמים מדיניים יכולים להרשות לעצמם.

היזהרו מ-KosPy, תוכנת הריגול שפותחה על ידי צפון קוריאה

שיטות הפצה: כך חדר KosPy לאלפי אנדרואידים

התושייה הגדולה (והסכנה) של KosPy טמונה באופן ההפצה שלה, שכן היא הצליחה להתגבר על הבקרות המחמירות של גוגל ולהתגנב פנימה כאילו הייתה אפליקציה אמיתית., בעיה שמעמידה את האמון שניתן בחנויות האפליקציות הרשמיות בסכנה.

בין הטכניקות הבולטות ביותר:

  • אפליקציות הונאה במסווה של כלי עבודה (מנהלי קבצים, כלי עזר לעדכוני תוכנה, שיפורי אבטחה וכו').
  • נוכחות של ממשקים וכותרות בסיסיות באנגלית ובקוריאנית, אשר מכוון לקהל יעד ספציפי.
  • הכללת KosPy באפליקציות כמו «מנהל טלפונים ניידים (מנהל טלפונים)», «מנהל קבצים«Wonderfulמנהל חכם (מנהל חכם)», «אבטחת קאקאו (אקו אבטחה)» ו-«כלי עדכון תוכנה«. כולם אושרו באופן חוקי בחנות Google Play ואף שוכפלו ב-APKPure.
  • מניפולציה בפלטפורמה Firebase כתשתית פיקוד ובקרה (C2) ולהוריד באופן דינמי תצורות נוספות לאחר התקנת האפליקציה במכשיר הקורבן.

המפתח שמאחורי האפליקציות הללו פעל תחת שם בדוי "מפתח כלי עזר אנדרואיד", ואף סיפק כתובות דוא"ל ליצירת קשר כדי שלא יבחינו בכך. בעקבות התרעת החוקרים, גוגל לא רק הסירה את כל האפליקציות הנגועות מחנות האפליקציות שלה, אלא גם השביתה את פרויקטי Firebase הנלווים, ובכך ניתקה את ערוץ התקשורת בין המכשירים שנפרצו לשרתי פושעי הסייבר.

כיצד פועל KosPy לאחר שהוא מדביק את המכשיר?

החששות העיקריים סביב KosPy הם מגוון הרחב של נתונים שהוא יכול לאסוף ותחכום שיטות החילוץ שלו. כשפותחים אחת מהאפליקציות המזויפות הללו, KosPy מופעלת ברקע, מטמיעה את הקוד הזדוני שלה כדי להישאר בלתי מזוהה ומבקשת הרשאות גישה מוגברות.

בין היכולות הטכניות החשובות ביותר של תוכנות ריגול נמנות:

  • קריאה וחילוץ של הודעות SMS.
  • השגת יומני שיחות ואנשי קשר.
  • ניטור מיקום GPS, מעקב אחר משתמשים בזמן אמת.
  • מופעלת קבצים ותיקיות המאוחסנים באופן מקומי בטלפון.
  • הקלטה של אודיו סביבתי שימוש במיקרופון וצילום תמונות דרך המצלמה.
  • לכידת צילומי מסך והקלטות מסך, פשוטו כמשמעו מרגלים אחר כל מה שנצפה או נעשה בנייד.
  • רישום הקשות מקלדת ושימוש באפליקציות על ידי ניצול שירותי נגישות, אשר עשוי לאפשר יירוט של סיסמאות ופרטי גישה.
  • קבלת מידע על רשתות WiFi אליהן מתחבר המכשיר ו רשימת היישומים המותקנים.

הנתונים מועברים מוצפנים (באמצעות אלגוריתם AES מוגדר מראש) לשרתי C2 הנשלטים על ידי האקרים צפון קוריאנים, מה שמקשה על זיהוי דליפת המידע על ידי מערכות גילוי קונבנציונליות.

למי כוון KosPy?

למרות ש-KosPy התפשט ברחבי העולם, רוב ההתקפות כוונו נגד משתמשים דוברי קוריאנית ודוברי אנגלית.. שפת האפליקציות וההרשאות המבוקשות היו אחד הרמזים ששימשו לסינון קורבנות פוטנציאליים, שכיוונו בבירור לדרום קוריאה ולמדינות דוברות אנגלית. עם זאת, הניתוחים מפרטים גם הדבקות באזורים אחרים, כולל יפן, וייטנאם, רוסיה, נפאל, סין, הודו, כווית, רומניה וכמה מדינות במזרח התיכון.

זה מצביע על א עניין אסטרטגי ברמה הבינלאומית, בין אם כדי לגשת למידע אישי רלוונטי ובין אם כדי לרגל אחר תנועות פוליטיות, עסקיות או טכנולוגיות.

השתמש ב-Airtag כדי לרגל אחר נייד אנדרואיד
Artaculo relacionado:
השתמש ב-Airtag כדי לרגל אחר נייד אנדרואיד

התפתחות הקמפיין ותגובת גוגל

התנועה המתועדת הראשונה של KosPy מתוארכת למרץ 2022, אם כי הדגימות האחרונות אותרו מתחילת השנה שעברה.. לפי גוגל ו-Lookout, לאחר שאושר קיומה של התוכנה הזדונית, כל האפליקציות הקשורות הוסרו מחנות Play. בנוסף, Google Play Protect חוסם כעת את ההתקנה של גרסאות ידועות של KosPy, גם אם הורדו מחוץ לחנות הרשמית.

עם זאת, אין נתונים ציבוריים על מספר ההורדות שהתרחשו לפני הנסיגה או כמה גרסאות ייתכן שהופצו מבלי להתגלות.. לכן, מומלץ לנטר באופן פעיל את הרשאות האפליקציות, וכן לעדכן את אנדרואיד וכל האפליקציות בגרסאות האבטחה העדכניות ביותר.

הקשר בין KosPy, ScarCruft (APT37), Kimsuky (APT43) והמודיעין הצפון קוריאני

ייחוס KosPy לריגול סייבר של מדינת צפון קוריאה נתמך על ידי מספר פרטים טכניים ותשתיתיים:

  • התשתית בה נעשה שימוש (כתובות IP ודומיינים עבור שרתי C2) שימשה במתקפות קודמות המיוחסות לצפון קוריאה מאז לפחות 2019.
  • יישומים זדוניים משתפים טכניקות, טקטיקות ונהלים (TTP) עם קמפיינים של ScarCruft/APT37.
  • חלק מהקוד והתשתית נקשרו גם ל-Kimsuky/APT43, דבר המצביע על שיתוף פעולה או שיתוף משאבים אפשרי בין שתי הקבוצות.
  • השפה, המיקוד האזורי וסוג המידע הגנוב תואמים את האינטרסים המקושרים באופן מסורתי עם המודיעין הצפון קוריאני.

חפיפה זו בשיטות ובמטרות בין קבוצות APT צפון קוריאניות פירושה לעיתים שהייחוס של מתקפה ספציפית אינו מדויק ב-100%, אך המקור ברור למומחי אבטחה.

רשימת האפליקציות הנגועות הרלוונטיות ביותר

אם יש לכם שאלות לגבי אפליקציות שהתקנתם באנדרואיד שלכם, בדקו את השמות הבאים, שאושרו בדיווחי Lookout ודווחו על ידי התקשורת:

  • 휴대폰 관리자 (מנהל טלפונים)
  • מנהל קבצים
  • 스마트 관리자 (מנהל חכם)
  • אבטחת קאקאו
  • כלי עדכון תוכנה

אפליקציות אלו הופצו הן ב בחנות Google Play כמו בפלטפורמות חלופות להורדה, כגון APKPure. אם גיליתם אחת מהאפשרויות הללו במכשיר שלכם, מחקו את האפליקציה מיד ושנו את כל הסיסמאות. בנוסף, בצע סריקת אבטחה עם אפליקציה אמינה.

Artaculo relacionado:
XNSPY, תוכנת הריגול הטובה ביותר עבור הטלפון החכם שלך

איזה סוג מידע גנב KosPy וכיצד הוא עשה זאת?

רמת הגישה ונפח הנתונים שנאספו על ידי KosPy חורגים בהרבה ממה שמקובל על תוכנות זדוניות נפוצות למובייל. בין המידע שנלקח נמצאים:

  • הודעות טקסט (SMS ואולי גם שירותי העברת הודעות אחרים)
  • פרטים מלאים על יומני שיחות: מספרים, משך, שעה ותאריך
  • קואורדינטות של מיקום הנייד בזמן אמת
  • מסמכים, תמונות וקבצים מאחסון פנימי
  • צלילים הנקלטים מהמיקרופון: שיחות, אווירה וכו'.
  • תמונות שצולמו כאשר המצלמה הופעלה ברקע
  • צילומי מסך והקלטות, המאפשרים לך לראות את כל מה שהמשתמש צפה או הקליד
  • רישום מקשים ניצול לרעה של הרשאות נגישות
  • מידע על רשת ה-Wi-Fi ורשימת האפליקציות המותקנות

בנוסף, כל המידע הזה נשלח מוצפן לשרתי הפיקוד והבקרה (C2) דרך ערוצים מוגנים., מה שהקשה על הזיהוי באמצעות כלי אנטי-וירוס מסורתיים.

טיפים מרכזיים כדי להימנע מנפילה למלכודות כמו KosPy

מומחים ואנליסטים שגילו את KosPy ממליצים לנקוט משנה זהירות, שכן אפילו התקנת אפליקציות אך ורק מחנות Google Play אינה מבטיחה אבטחה מוחלטת. טיפים כוללים:

  • תמיד בדקו את הביקורות והדירוגים של אפליקציות, והיזהרו מאלה עם מעט תגובות או דירוגים שליליים.
  • בדוק את שם המפתח, חפש מידע נוסף עליו, ובדוק אם הוא ישות מהימנה ומוכרת.
  • שימו לב למספר ההורדות: אם האפליקציה חדשה או שיש לה קצב הורדה נמוך מאוד, היו זהירים במיוחד.
  • ודאו שמערכת ההפעלה והיישומים שלכם מעודכנים תמיד, מכיוון שרוב פרצות האבטחה מתוקנות באמצעות תיקונים רשמיים.
  • הענק רק הרשאות חיוניות לכל אפליקציה. אם אפליקציית ניהול קבצים מבקשת גישה למיקרופון או למצלמה, זוהי סיבה לדאגה.
  • אם מותקנת אצלכם אחת מהאפליקציות הנגועות שזוהו, הסירו אותן מיד, שנו את הסיסמאות שלכם ובצעו בדיקת אבטחה מלאה.
  • שקלו להתקין פתרון אבטחה נייד אמין כדי להגביר את רמת ההגנה והניטור המתמשך שלכם.

התגובה העולמית והמצב הנוכחי

בעקבות הסיקור התקשורתי הנרחב של KosPy והחקירה בראשות Lookout, גוגל חיזקה את הבקרות שלה ואת מערכת Play Protect, וחסמה והסירה את כל הווריאציות הידועות של תוכנת ריגול זו. יתר על כן, שיתוף פעולה בינלאומי בין חברות אבטחת סייבר לענקיות טכנולוגיה הוא המפתח לנטרול איומים אלה לפני שהם יהפכו לנפוצים.

מאז הסרת KosPy, לא צצו מקרים חדשים של הדבקה המונית דרך חנות Google Play, אם כי חיוני להישאר ערניים, שכן התוקפים מפתחים כל הזמן את הטכניקות שלהם.

גילוי KosPy הדגיש את התחכום הגובר של ריגול דיגיטלי במערכת האקולוגית של אנדרואיד, והדגים שאף אחד לא חסין מפני הפיכה לקורבן. שיתוף פעולה בין גורמים ממלכתיים לקבוצות האקרים כמו ScarCruft ו-Kimsuky, ניצול חנויות רשמיות והיכולת להסוות את עצמן כאפליקציות שנראות בלתי מזיקות, מדגישים את החשיבות של שמירה על גישה פרואקטיבית להגנה דיגיטלית.

כיצד להפוך את אנדרואיד למצלמת ריגול
Artaculo relacionado:
כיצד להפוך את אנדרואיד למצלמת ריגול

ניטור אקטיבי, ניתוח ביקורתי של היתרים ועדכון מתמיד הם המחסומים הטובים ביותר בפני איומים אלה. שתפו את המידע כדי שמשתמשים אחרים יהיו מודעים לחדשות..


עקוב אחרינו בחדשות Google