Северокорейских хакеров обвинили в размещении вредоносных приложений в Google Play

Группировка хакеров, предположительно связанная с властями КНДР, разместила вредоносные приложения в магазине Google Play, заставив пользователей обманом установить заражённое ПО.

Об этом сообщила компания Lookout, специализирующаяся на кибербезопасности. Атака включала несколько версий вредоноса KoSpy, который действует как шпионское ПО.

Оно собирает конфиденциальные данные, включая SMS, журналы вызовов, геолокацию, файлы на устройстве, нажатия клавиш, а также делает записи звука, снимки камерой и скриншоты. Для загрузки конфигураций использовалась инфраструктура Google Cloud через Firestore.

После уведомления Google компания удалила заражённые приложения из Google Play, отключила Firebase-проекты и добавила KoSpy в систему автоматического обнаружения угроз. Однако некоторые версии вредоноса были найдены в альтернативном магазине APKPure, где их наличие пока не подтвердили официально.

Эксперты считают, что целью атаки стали пользователи из Южной Кореи. Некоторые заражённые приложения имели корейские названия и интерфейс, а их код содержал ссылки на IP-адреса и домены, ранее связанные с кибератаками северокорейских хакеров.