朝鲜政府黑客在Android App Store上偷偷摸摸的间谍软件

一组链接到朝鲜政权链接的黑客，将Android Spyware上传到Google Play App Store上，并能够欺骗某些人下载它。

在周三发布的报告中，并在提前与TechCrunch共享的报告中详细介绍了一项间谍活动，其中涉及它称为Kospy的几个不同样本的Android Spyware样本，该公司以“高信心”将其归因于朝鲜政府。

根据官方Android App Store上该应用程序页面的快照，至少有一个间谍软件应用程序在Google Play上的某个时候，下载了10次以上。 Lookout在其报告中包含了页面的屏幕截图。

在过去的几年中，朝鲜黑客成为头条新闻，尤其是出于大胆的加密抢劫，就像最近从加密货币交易所盗窃了大约14亿美元的以太坊的盗窃案，目的是促进该国禁止的核武器计划。但是，在此新的间谍软件活动的情况下，所有迹象都表明，这是基于Lookout确定的间谍软件应用程序的功能。

北朝鲜间谍软件运动的目标尚不清楚，但是Lookout的安全情报研究总监Christoph Hebeisen告诉TechCrunch，TechCrunch说，只有几次下载，Spyware应用程序很可能针对特定的人。

根据Lookout，Kospy收集了“大量敏感信息”，包括：SMS文本消息，呼叫日志，设备的位置数据，设备上的文件和文件夹，用户输入的键盘，Wi-Fi网络详细信息以及已安装的应用程序列表。

kospy也可以录制音频，用手机的摄像头拍照，并捕获使用中屏幕的屏幕截图。

Lookout还发现，Kospy依赖于Firestore，这是一个建立在Google Cloud Infrastructure上的云数据库来检索“初始配置”。 

Google发言人埃德·费尔南德斯（Ed Fernandez）告诉TechCrunch，Lookout与该公司分享了其报告，“所有已识别的应用程序都从Play [和] Firebase Projects停用了。

“ Google Play会自动通过Google Play Services在Android设备上保护用户免受此恶意软件的侵害，” Fernandez说。

Google没有对有关该报告的一系列具体问题发表评论，包括Google是否同意朝鲜政权的归因，以及有关Lookout报告的其他详细信息。

联系我们 您是否有有关Kospy或其他间谍软件的更多信息？在非工作设备和网络中，哟您可以通过+1 917 257 1382或通过Telegram和keybase @lorenzofb或电子邮件与Lorenzo Franceschi-Bicchierai联系，或通过+1 917 257 1382与信号联系。您还可以通过Securedrop与TechCrunch联系。

该报告还说，Lookout在第三方App Store APKPURE上找到了一些间谍软件应用程序。 APKPURE发言人说，该公司没有收到Lookout的“任何电子邮件”。

控制了托管间谍软件应用程序的Google Play页面上列出的开发人员的电子邮件地址的人，没有响应TechCrunch的评论请求。

Lookout的Hebeisen，以及高级员工安全情报研究人员Alemdar Islamoglu告诉TechCrunch，虽然Lookout没有任何有关谁可能被针对的人的信息，但有效地被黑客入侵，有效地涉足 - 该公司有信心这是一场高度针对性的运动，很可能会在韩国说英语或韩国。

Lookout的评估Is基于他们发现的应用程序的名称，其中一些在韩语中，并且某些应用程序具有韩语标题，并且用户界面支持两种语言。

loocout还发现，间谍软件应用程序使用以前确定为恶意软件，指挥和控制基础架构中存在的域名和IP地址

“对朝鲜威胁演员着迷的事情是，似乎在将应用程序带入官方应用商店时，他们似乎有些成功。”