揭秘与朝鲜间谍活动有关的系列安卓应用程序
尽管谷歌对 Play Store 下载安卓应用程序施加了限制,但黑客总能找到方法添加包含监视和间谍软件的恶意应用程序。此次,网络安全公司Lookout发现了一组基于新型间谍软件KoSpy的恶意应用程序。
Lookout 在其官方博客上发布了有关该恶意软件、其使用情况及其检测机制的详细报告。尽管谷歌在报告发布后立即删除了这些应用程序,但其中一款应用程序在被删除之前已被多次下载。
该公司还表示,这些应用程序属于一个与朝鲜政府关系密切的黑客组织。
检测恶意应用程序
根据该公司发布的报告,这些应用程序被伪装成系统管理和优化应用程序,即旨在组织文件、更新其他应用程序、删除恶意软件并使设备使用更快、更流畅。
更具体地说,该恶意软件将自己伪装成五种不同类型的应用程序,包括手机管理应用程序、文件管理器应用程序、智能管理器应用程序、名为 Kakao Security 的应用程序,以及用于更新手机系统和其他应用程序的应用程序。
下载该应用程序后,用户会被要求提供一系列可疑的权限,包括访问和阅读短信、通话记录和手机上存储的文件,以及收听周围的声音、截屏,以及在应用程序的服务器上持续记录和存储手机的位置——这些服务器由朝鲜政府控制。
该公司还指出,这些应用程序存在于三个独立的安卓商店中,类似于 Google Play。这些应用商店的控制和限制不如谷歌那么严格,因此,经常成为黑客的目标。
新型间谍软件KoSpy依赖于两步命令和控制基础设施。第一个攻击始终以 Firebase 服务器(谷歌的应用程序托管和管理服务)为目标,然后与朝鲜政府控制的外部服务器进行通信。
包含该恶意软件的应用程序还具有外部隐私和使用政策页面,该页面自 2019 年以来托管在与朝鲜政府网络攻击相关的服务器上。
值得注意的是,这些应用程序的隐私政策明确指出,它们收集和使用数据用于营销目的,并可能与他们认为合适的任何合作伙伴共享,政策并指出,数字数据存储和共享机制并不总是安全的,随时可能被盗。
此次攻击的幕后黑手是谁?
网络安全公司Lookout将此次攻击与两个黑客组织联系起来:APT37(又名 ScarCruft)和 APT43(又名 Kimsuki)。
这两个组织都与之前的恶意网络攻击有关,与朝鲜政府有明显的联系,并在此前的多起事件中与朝鲜政府有过合作。虽然此次攻击的目标是 安卓手机,但ScarCruft此前曾在 2019 年针对 Windows 电脑进行过攻击,目的是收集联网设备上的数据。Kimsuki与之前的一次攻击有关,在那次攻击中,Chrome 扩展程序被用来从浏览器收集密码和用户帐户数据。
通过检查应用程序内的服务器并追踪到这些服务器的数字地址,该公司能够将恶意软件与其背后的团体联系起来。通过将这些地址与该公司的网络攻击数据库进行比较,能够识别负责该软件的团体及其联系。
网络攻击是朝鲜最凶猛的武器
近年来,朝鲜政府支持的网络攻击愈演愈烈,针对的是各行各业和个人。虽然KoSpy恶意软件针对的是英语和韩语使用者,但政府已经利用黑客组织发动了许多不同且多样化的攻击。
近日,臭名昭著的Lazarus组织参与了针对著名加密货币平台ByBit的网络攻击,窃取了该平台约15亿美元的数字资产。
朝鲜黑客还涉嫌对美国多家医院、军事基地以及美国国家航空航天局 (NASA) 发动网络攻击。联邦调查局去年对这些袭击事件的责任人发出了逮捕令。
如何保护自己免受恶意安卓应用程序的侵害?
目前,这些应用程序广泛存在于各种应用商店中,包括 Google Play 商店,有时甚至是 Apple Store,因此,不能完全依赖这些商店的机制来删除恶意应用程序。
然而,用户可以按照一系列提示来保护自己并对抗这些应用程序。重要的是不要安装任何来自未知或未知来源的应用程序,并且最好始终坚持使用拥有数百万下载量的流行应用程序,尽管在很多情况下这并不是一个能保证应用程序安全的标准。
您还应该检查所有应用程序的权限,确保应用程序不会获得其工作中不应得或不需要的权限,然后删除任何您怀疑滥用其权限并试图以不安全的方式访问用户数据的应用程序。