کمیته رکن چهارم – هکرهای وابسته به دولت کره شمالی یک جاسوسافزار اندرویدی را در Google Play منتشر کردند. این بدافزار در قالب یک اپلیکیشن مدیریت فایل عرضه شد و برخی کاربران بدون آگاهی آن را دانلود کردند. این جاسوسافزار اطلاعات حساسی مانند پیامکها، تماسها و موقعیت مکانی کاربران را سرقت میکرد.
به گزارش کمیته رکن چهارم، این جاسوسافزار که KoSpy نام دارد، توسط شرکت امنیت سایبری Lookout شناسایی شده است. این بدافزار در قالب یک اپلیکیشن مدیریت فایل منتشر شده و اطلاعات حساسی از جمله پیامکها، تماسها، موقعیت مکانی، فایلهای ذخیرهشده و حتی ورودیهای صفحهکلید کاربران را جمعآوری میکرد. همچنین، قابلیتهایی مانند ضبط صدا، گرفتن عکس و اسکرینشات را نیز داشت.
شرکت Lookout کشف کرده است که KoSpy برای دریافت پیکربندیهای اولیه خود به Google Cloud Firestore متصل شده و از زیرساختهای بدافزاری گروههای هکری APT37 و APT43 که به کره شمالی مرتبط هستند، استفاده کرده است. این گروهها در گذشته نیز موفق شدهاند اپلیکیشنهای آلوده را در فروشگاههای رسمی مانند Google Play منتشر کنند.
گوگل پس از دریافت گزارش Lookout، این اپلیکیشنهای مخرب را از فروشگاه حذف و پروژههای مرتبط را در Firebase غیرفعال کرد. با این حال، جزئیات بیشتری درباره ارتباط این حمله با دولت کره شمالی منتشر نشده است.
این گزارش نشان میدهد که برخی از اپلیکیشنهای جاسوسی کشفشده دارای نامهای کرهای بودند و احتمالاً افراد ساکن کره جنوبی را هدف قرار دادهاند.
