Исследователи компании Lookout сообщили об обнаружении нового шпионского ПО для Android-устройств. Оно получило название KoSpy и распространялось через по меньшей мере 5 вредоносных приложений, которые разработчикам удалось разместить во флагманском магазине Google Play Store, а также в стороннем магазине APKPure.

Все приложения адресованы пользователям, говорящим на корейском либо английском языках. Это are 휴대폰 관리자 (Phone Manager), File Manager (com.file.exploer), 스마트 관리자 (Smart Manager), 카카오 보안 (Kakao Security) и Software Update Utility. Они выдаются за файловые менеджеры, инструменты безопасности и утилиты для обновления ПО. И почти все (за исключением Kakao Security) в той или иной мере имеют заявленный функционал. Однако в фоновом режиме все они загружают на устройства зловред KoSpy.

Он обладает весьма широкими шпионскими возможностями. Вредоносное ПО похищает SMS-сообщения и логи звонков, в режиме реального времени отслеживает геопозицию устройства, получает доступ и возможность похищения файлов в локальном хранилище, осуществляет аудиозапись, а также фото- и видеосъемку с помощью микрофона и камеры устройства, делает скриншоты экрана и имеет возможность клавиатурного шпионажа. Все похищенные данные пересылаются на командный сервер, отдельный для каждого приложения.

Основываясь на используемых вредоносными приложениями доменах и IP-адресах, которые ранее были задействованы в атаках хакеров из КНДР, исследователи Lookout предполагают, что за разработкой и распространением злловреда стоит северокорейская группировка APT37 (известная также как ScarCruft). Ряд данных указывают на то, что операция осуществляется как минимум с марта 2022 года. В настоящее время все вредоносные приложения удалены из магазинов Google Play Store и APKPure. Но пользователям, успевшим установить любое из них, следует самостоятельно удалить их с устройства и провести полное сканирование с использованием надежных защитных решений.