Les chercheurs en cybersécurité de Lookout ont découvert Kospy, un logiciel espion Android sophistiqué lié à la Corée du Nord qui a réussi à infiltrer le Google Play Store. Le malware est attribué à Scarcruft (APT37), un groupe de piratage nord-coréen, et se déguise en applications légitimes. Il cible les utilisateurs coréens et anglophones et peut voler des données sensibles tout en restant non détecté pendant des mois.
Comment Kospy infecte les appareils
Selon les chercheurs, Kospy se déguise comme une application utilitaire légitime sur un téléphone. Lookout has found at least five variations of the malware disguising itself as 휴대폰 관리자 (Phone Manager), File Manager, 스마트 관리자 (Smart Manager), 카카오 보안 (Kakao Security), and Software Update Utility.
Compte tenu de ses noms à consonance légitime, il peut inciter les utilisateurs à l'installer. Une fois installé, il attend l'activation. Contrairement aux logiciels malveillants typiques, Kospy ne commence pas immédiatement ses activités d'espionnage. Ce serait trop suspect. Au lieu de cela, les chercheurs ont constaté que le logiciel espion kospy s'appuyait sur des plates-formes légitimes pour récupérer les adresses de commande et de contrôle (C2) mises à jour.
Cela permet aux attaquants de la Corée du Nord d'activer, de mettre à jour et de modifier le logiciel espion à distance via Google Play et Firebase Firestore, un service Google Cloud, sans nécessiter d'interaction utilisateur, ce qui rend la détection beaucoup plus difficile.
Ce que Kospy peut faire
Une fois actif, Kospy peut voler des messages SMS et des journaux d'appel. Il peut suivre l'emplacement GPS en temps réel, accéder et modifier les fichiers, enregistrer l'audio, prendre des photos et capturer des frappes et des captures d'écran.
Les logiciels espions crypt les données volées à l'aide du cryptage AES avant de les renvoyer aux serveurs C2, ce qui rend l'interception plus difficile. De plus, les attaquants peuvent installer à distance de nouveaux plugins, en élargissant les capacités d'espionnage du malware sans réinfecter l'appareil.
Kospy est dangereux car son système C2 est plus avancé que les logiciels malveillants typiques. Au lieu de codage en dur l'adresse C2 dans le malware lui-même, ce que les autres logiciels malveillants font généralement, il récupère la dernière adresse C2 de Firebase Firestore. Il utilise Firebase comme relais et empêche les outils de sécurité de détecter immédiatement le trafic malveillant, d'autant plus que Google possède Firestore, ce qui fait que les demandes ressemblent à un trafic légitime.
Les attaquants peuvent également arrêter ou réactiver le logiciel espion à distance et modifier les adresses C2 si l'on est bloqué. Cela rend Kospy plus difficile à perturber que les logiciels espions traditionnels. Google a déjà supprimé ces applications malveillantes, mais cela soulève des préoccupations concernant la sécurité des magasins d'applications officielles. Comme toujours, essayez de télécharger des applications à partir des magasins d'applications appropriés et de confiance dans la mesure du possible. Assurez-vous également de vérifier les avis et assurez-vous que votre téléphone a installé les dernières mises à jour de sécurité.
