Koreya Xalq Demokratik Respublikası (KXDR) hakimiyyəti ilə əlaqəli olduğu güman edilən bir haker qrupu Google Play-də Android üçün bir neçə zərərli tətbiq yerləşdirib və istifadəçiləri aldatmaqla bu proqramları yükləməyə məcbur edib. Bu barədə kibertəhlükəsizlik üzrə ixtisaslaşmış Lookout şirkəti məlumat verib. Hücum çərçivəsində KoSpy adlı bir neçə zərərli proqram nümunəsi aşkar edilib. Google Play mağazasındakı ekran görüntüsünə əsasən, ən azı bir yoluxmuş tətbiq on dəfədən çox yüklənib. Mütəxəssislərin fikrincə, Şimali Koreya hakerləri adətən maliyyə oğurluqları ilə məşğul olurlar, lakin bu halda əsas məqsəd məlumat toplamaq olub.
KoSpy casus proqramıdır və böyük həcmdə məxfi məlumat toplayır, o cümlədən SMS mesajları, zəng qeydləri, cihazın geolokasiyası, cihazda saxlanılan fayllar, klaviaturada yazılan simvollar, Wi-Fi şəbəkələri haqqında məlumatlar, Quraşdırılmış tətbiqlərin siyahısı. Bundan əlavə, KoSpy istifadəçinin səsini qeydə alır, kamera vasitəsilə şəkillər çəkir və ekran görüntüləri yaradır. Zərərli proqramın ilkin konfiqurasiyalarını əldə etmək üçün Google Cloud infrastrukturundakı Firestore bulud bazasından istifadə edilib. Lookout şirkəti aşkar etdiyi təhlükə barədə Google-a məlumat verib. Bundan sonra Firebase layihələri deaktiv edilib, KoSpy ilə yoluxmuş tətbiqlər Google Play-dən silinib və zərərli proqram avtomatik aşkarlama sisteminə əlavə edilib.
Bununla belə, Lookout mütəxəssisləri KoSpy-nin bəzi versiyalarını APKPure alternativ tətbiq mağazasında da aşkar ediblər. Lakin APKPure administrasiyası kibertəhlükəsizlik mütəxəssislərinin onlarla əlaqə saxladığını təsdiqləməyib. Hücumun əsas qurbanlarının Cənubi Koreya vətəndaşları olduğu ehtimal edilir. Çünki aşkarlanan yoluxmuş tətbiqlərdən bəzilərinin adları koreya dilində idi və istifadəçi interfeysi koreya və ingilis dillərində hazırlanmışdı. Bundan əlavə, tətbiqlərin kodunda əvvəllər Şimali Koreya hakerləri ilə əlaqələndirilmiş zərərli kampaniyalarda istifadə olunan domen adlarına və IP ünvanlarına istinadlar tapılıb.
Mənbə: Lookout
