برنامج التجسس الكوري الشمالي KoSpy يستهدف مستخدمي أندرويد من خلال تطبيقات وهمية

أكتشف الباحثون من شركة أمن الإنترنت Lookout برنامج تجسس جديد على نظام الأندرويد، يُطلق عليه اسم KoSpy، يُنسب إلى مجموعة القراصنة الكورية الشمالية APT37، المعروفة أيضاً بـ ScarCruft.

لا تزال البرامج الخبيثة، التي تم رصدها لأول مرة في مارس 2022، نشطة وتم تضمينها في تطبيقات مساعدة مزيفة مثل “مدير الملفات” و “أداة تحديث البرامج” و “كاكاو الأمن”. تم تصميم هذه التطبيقات، التي كانت متوفرة سابقاً على Google Play ومتاجر طرف ثالث مثل Apkpure، لاستهداف المستخدمين الناطقين بالكورية والإنجليزية.

يقوم KoSpy بجمع مجموعة واسعة من المعلومات الحساسة، بما في ذلك رسائل النص، سجلات المكالمات، بيانات الموقع، الملفات، التسجيلات الصوتية، ولقطات الشاشة.

يعمل برنامج التجسس هذا باستخدام نظام الأمر والتحكم المرحلتين (C2)، حيث يقوم أولاً بجلب التكوينات من قاعدة بيانات السحابة Firebase قبل إقامة الاتصال مع الخوادم البعيدة. يسمح هذا الإعداد للمهاجمين بتغيير الخوادم أو تعطيل البرامج الخبيثة حسب الحاجة.

لقد قامت جوجل بإزالة جميع التطبيقات الخبيثة المعروفة من متجر Play الخاص بها. أوضح المتحدث الرسمي قائلاً: “يحمي Google Play Protect المستخدمين الأندرويد تلقائياً من الإصدارات المعروفة لهذا البرنامج الضار على الأجهزة التي تحتوي على خدمات Google Play، حتى عندما تأتي التطبيقات من مصادر خارجية عن Play”، كما أفادت The Record.

كما يشارك KoSpy البنية التحتية مع مجموعة تتبع الحكومة الكورية الشمالية الأخرى، APT43، المعروفة بحملات التصيد الرقمي التي تنشر البرامج الضارة لسرقة البيانات الحساسة. هذا التداخل في البنية التحتية يجعل الإسناد الدقيق صعبًا، لكن باحثي Lookout يربطون KoSpy بـ APT37 بثقة متوسطة.

تقوم ScarCruft بتنفيذ عمليات التجسس الإلكتروني منذ عام 2012، تستهدف بشكل أساسي كوريا الجنوبية ولكنها توسعت أيضاً لتصل إلى اليابان، فيتنام، روسيا، نيبال، الصين، الهند، رومانيا، الكويت، والشرق الأوسط. وقد تم ربط الفريق بالهجمات على المنظمات الإعلامية والأكاديميين ذوي الشهرة العالية، بالإضافة إلى عملية البرامج الخبيثة في جنوب شرق آسيا.

على الرغم من أن KoSpy لم يعد متاحًا على متجر Google Play، فإن الباحثين يحذرون من أن المستخدمين يجب أن يظلوا حذرين من التطبيقات المشبوهة، خاصة تلك التي تطلب صلاحيات مفرطة. يمكن أن يساعد الحفاظ على تحديث الأجهزة والاعتماد على متاجر التطبيقات الرسمية التي تحتوي على حمايات الأمان مثل Google Play Protect في التخفيف من المخاطر.