A Google Play alapvetően biztonságos hely az Androidos alkalmazásaink letöltésére, de időről-időre kiderül, hogy egy-két kártevő mégis be tud jutni oda.
Egy, az észak-koreai rezsimhez köthető hackercsoport Android kémprogramokat töltött fel a Google Play áruházba, és a LookOut kiberbiztonsági cég szerint letöltők is akadtak. Szerintük „nagy bizonyossággal” az észak-koreai kormányhoz köthető a KoSpy nevű kártékony program, ami bejutott a Google boltjába. Legalább az egyik kémprogram alkalmazás egy ideig elérhető volt az áruházban, és több mint tíz letöltést ért el – derül ki az alkalmazás oldalának gyorsítótárazott pillanatképéből, amelyet a Lookout a jelentésében is bemutatott.
Az elmúlt években az észak-koreai hackerek különösen merész kriptovaluta-lopásaikkal kerültek a hírekbe, például a Bybit tőzsdéről ellopott, megközelítőleg 1,4 milliárd dollár értékű Ethereum esetével, amelyet valószínűleg az ország tiltott nukleáris fegyverprogramjának finanszírozására használtak fel. Az új kémprogram-kampány esetében azonban minden jel arra utal, hogy ez egy megfigyelési művelet, amelyet a Lookout által azonosított kémprogramok funkcionalitása is alátámaszt.
A KoSpy-nak a Google Play felületén alkalmazott kampányának céljai nem ismertek, de Christoph Hebeisen, a Lookout biztonsági intelligencia kutatásért felelős igazgatója a TechCrunch-nak elmondta, hogy a viszonylag alacsony letöltésszám miatt valószínű, hogy az alkalmazás bizonyos személyeket vett célba.
A Lookout szerint a KoSpy „rendkívül érzékeny adatokat” gyűjt, például:
- SMS-üzeneteket,
- hívásnaplókat,
- a készülék helyadatait,
- a fájlokat és mappákat,
- a felhasználó által beírt billentyűleütéseket,
- a Wi-Fi hálózati információkat,
- valamint a telepített alkalmazások listáját.
Emellett a KoSpy képes hangfelvételeket készíteni, képeket rögzíteni a telefon kamerájával, valamint képernyőképeket készíteni a kijelző tartalmáról. A Lookout azt is felfedezte, hogy a KoSpy a Firestore-t – a Google Cloud infrastruktúráján alapuló felhőalapú adatbázist – használta „kezdeti konfigurációs” adatok lekérésére. A Google nem reagált a kiberbiztonsági cég tájékoztatására.
