Северокорейских хакеров обвинили в размещении вредоносных приложений в Google Play


GigaChat Max кратко объясняет суть статьи
Северокорейская хакерская группировка, предположительно поддерживаемая властями КНДР, разместила в Google Play вредоносные приложения с трояном KoSpy, собирающим личные данные пользователей (SMS, звонки, местоположение, файлы, аудио, фото, скриншоты). После выявления угрозы Google удалил зараженные программы, заблокировал инфраструктуру и внедрил автоматическое обнаружение вредоноса. Хотя основные меры приняты, некоторые версии вредоноса остаются в сторонних магазинах приложений. Целью атаки, вероятно, являются южнокорейские пользователи, что подтверждают корейскоязычные интерфейсы и совпадение IP-адресов с предыдущими атаками северокорейских хакеров.
Группировка хакеров, предположительно связанная с властями КНДР, разместила вредоносные приложения в магазине Google Play, заставив пользователей обманом установить заражённое ПО.
Об этом сообщила компания Lookout, специализирующаяся на кибербезопасности. Атака включала несколько версий вредоноса KoSpy, который действует как шпионское ПО.

Оно собирает конфиденциальные данные, включая SMS, журналы вызовов, геолокацию, файлы на устройстве, нажатия клавиш, а также делает записи звука, снимки камерой и скриншоты. Для загрузки конфигураций использовалась инфраструктура Google Cloud через Firestore.
После уведомления Google компания удалила заражённые приложения из Google Play, отключила Firebase-проекты и добавила KoSpy в систему автоматического обнаружения угроз. Однако некоторые версии вредоноса были найдены в альтернативном магазине APKPure, где их наличие пока не подтвердили официально.
Эксперты считают, что целью атаки стали пользователи из Южной Кореи. Некоторые заражённые приложения имели корейские названия и интерфейс, а их код содержал ссылки на IP-адреса и домены, ранее связанные с кибератаками северокорейских хакеров.
Читать первым в Telegram-канале «Код Дурова»