KoSpyは Android環境で動作するスパイウェアです。
以前から確認されていたマルウェアですが、新しいものが確認されています。
- ユーティリティアプリケーション
このマルウェアはユーティリティアプリケーションを装って配布されます。
配布は、Google Playストアが利用されます。
Phone Manager、File Manager、Smart Manager、Kakao Security、Software Update Utilityなどといった名称が使用されています。 - とりあえず機能する
配布されているユーティリティアプリケーションは、とりあえずは名前の通りの機能を有しています。 - 裏の仕事
ですが、名称から期待されている機能が動作しているその後ろ側で、別の仕事を実施します。
別の仕事は、KoSpyの読み込みです。 - KoSpy
配布されているKoSpyには構成情報が含まれていません。
構成情報はFirebase Firestoreのデータベースから通信で読み込まれます。
読み込む構成情報は暗号化されています。
動作を開始したKoSpyはC2と通信し、追加のペイロードを取得します。
追加のペイロードは各種のデータ収集機能を担当します。 - KoSpyのデータ収集機能
- SMSと通話記録の傍受
- 被害者のGPS位置をリアルタイムで追跡
- ローカルストレージからファイルを読み取り、盗み出す
- デバイスのマイクを使用して音声を録音します
- デバイスのカメラを使用して写真やビデオを撮影します
- デバイスディスプレイのスクリーンショットをキャプチャします
- Android アクセシビリティ サービスを介してキーストロークを記録します
このマルウェアの配布はすでに停止されていますので、Google Playストア経由で新たに感染することはなさそうです。
しかし、感染済みの環境においては手動で対策する必要があります。
場合によっては、工場出荷状態にリセットするほうが早いかもしれません。
現時点では、このマルウェアのターゲットは韓国語話者と英語話者です。
しかし、このマルウェアに関連すると思われる脅威アクターであるScarCruft(別名:APT37)のこれまでの活動から考えると、今後類似の脅威を、日本、ベトナム、ロシア、ネパール、中国、インド、ルーマニア、クウェート、中東などで展開してくることも考えられます。
注意が必要ですね。
Lookout Discovers New Spyware by North Korean APT37
https://www.lookout.com/threat-intelligence/article/lookout-discovers-new-spyware-by-north-korean-apt37
| この記事をシェア |
|
|---|
