هکر‌های کره شمالی جاسوس‌افزار اندرویدی را در گوگل پلی منتشر کردند

به گزارش خبرنگار اقتصاد معاصر؛ طبق اعلام شرکت امنیت سایبری Lookout، هکر‌های مرتبط با دولت کره شمالی موفق شدند جاسوس‌افزار اندرویدی را در فروشگاه گوگل پلی بارگذاری کرده و برخی کاربران را فریب دهند تا آن را دانلود کنند. در گزارش Lookout، جزئیات یک کمپین جاسوسی را منتشر کرد که شامل چندین نمونه از یک جاسوس‌افزار اندرویدی به نام KoSpy است. این شرکت با اطمینان بالا این جاسوس‌افزار را به دولت کره شمالی نسبت داده است. 

طبق این گزارش، حداقل یکی از این برنامه‌های جاسوسی در مقطعی در گوگل پلی در دسترس بوده و بیش از ۱۰ بار دانلود شده است. Lookout نسخه‌ کش‌شده‌ای از صفحه‌ این نرم‌افزار را در فروشگاه رسمی اندروید ارائه کرده و اسکرین‌شاتی از آن را در گزارش خود گنجانده است. در سال‌های اخیر، هکر‌های کره شمالی به دلیل سرقت‌های رمزارزی عظیم، مانند دزدی ۱.۴ میلیارد دلاری اتریوم از صرافی Bybit، خبرساز شده‌اند. هدف این سرقت‌ها تامین مالی برنامه‌ ممنوعه‌ تسلیحات هسته‌ای این کشور بوده اما برخلاف این حملات، کمپین جاسوس‌افزار KoSpy نشانه‌هایی از یک عملیات نظارتی دارد، زیرا عملکرد این برنامه‌ها قابلیت جاسوسی را نشان می‌دهد. 

هدف دقیق این جاسوس‌افزار مشخص نیست اما کریستوف هبایزن، مدیر تحقیقات امنیتی Lookout، اعلام کرده که تعداد محدود دانلود‌ها نشان می‌دهد این بدافزار احتمالا برای هدف قرار دادن افراد خاص طراحی شده است. طبق گزارش KoSpy، حجم گسترده‌ای از اطلاعات حساس کاربران، از جمله پیام‌های متنی (SMS)، سوابق تماس، موقعیت مکانی دستگاه، فایل‌ها و پوشه‌های ذخیره‌شده، اطلاعات تایپ‌شده توسط کاربر، اطلاعات شبکه‌های وای‌فای و فهرست برنامه‌های نصب‌شده را جمع‌آوری می‌کند. علاوه بر این، KoSpy قابلیت ضبط صدا، گرفتن عکس با دوربین گوشی و ثبت اسکرین‌شات از صفحه‌ نمایش را نیز دارد. 

Lookout همچنین متوجه شد که این جاسوس‌افزار از Firestore، یک پایگاه داده ابری متعلق به گوگل، برای دریافت پیکربندی‌های اولیه استفاده کرده است. در واکنش به این گزارش اد فرناندز، سخنگوی گوگل اعلام کرد که Lookout این اطلاعات را با گوگل به اشتراک گذاشته و در نتیجه همه‌ برنامه‌های شناسایی‌شده از Play حذف شده و پروژه‌های Firebase آنها، از جمله نسخه‌ KoSpy که در گوگل پلی قرار داشت، غیرفعال شده است.

وی افزود که گوگل پلی به‌ طور خودکار کاربران را از نسخه‌های شناخته‌شده‌ این بدافزار در دستگاه‌های اندرویدی که Google Play Services دارند، محافظت می‌کند. با این حال، گوگل در پاسخ به سوالات بیشتر درباره‌ این گزارش، از جمله تایید ارتباط آن با دولت کره شمالی اظهار نظری نکرد. 

Lookout همچنین گزارش داد که برخی از این برنامه‌های جاسوسی در فروشگاه نرم‌افزار APKPure نیز شناسایی شده‌اند. همچنین سخنگوی APKPure گفت که این شرکت هیچ‌گونه تماسی از طرف Lookout دریافت نکرده است. 

بر اساس تحقیقات Lookout، این کمپین احتمالا بسیار هدفمند بوده و کاربران کره جنوبی که انگلیسی یا کره‌ای صحبت می‌کنند را هدف قرار داده است. این ارزیابی بر اساس نام برخی از اپلیکیشن‌ها، عناوین به زبان کره‌ای و پشتیبانی از زبان کره‌ای و انگلیسی در رابط کاربری آنها انجام شده است. 

علاوه بر این Lookout دریافت که دامنه‌ها و آدرس‌های IP مورد استفاده در این جاسوس‌افزار قبلا در بدافزار‌ها و زیرساخت‌های فرماندهی و کنترل گروه‌های هکری شناخته‌شده‌ کره شمالی مانند APT۳۷ و APT۴۳، مشاهده شده‌اند.