KoSpy: как опасное шпионское ПО обмануло Google Play и осталось незамеченным

Нпионское ПО, которое обмануло Google Play - KoSpy

Исследователи из Lookout обнаружили опасное вредоносное ПО KoSpy, которое сумело проникнуть в Google Play Store и месяцами оставалось незамеченным. Это программное обеспечение, связанное с северокорейской хакерской группировкой ScarCruft (APT37), маскируется под обычные приложения и нацелено на пользователей из Южной Кореи и англоязычного сегмента.

Как KoSpy проникает в телефоны? 📲

KoSpy использует проверенный, но всё ещё эффективный метод – маскировку. Вредоносное ПО выдаёт себя за системные утилиты, такие как Phone Manager, File Manager, Kakao Security и даже Software Update Utility. Пользователь, ничего не подозревая, устанавливает приложение, думая, что получает полезный инструмент.

Однако KoSpy не торопится раскрывать свою истинную природу. В отличие от обычных вирусов, которые сразу начинают атаку, это ПО действует скрытно. Оно ждёт команды от своих создателей, используя облачные сервисы Google Firebase Firestore для передачи адресов командных серверов (C2). Это позволяет хакерам удалённо управлять программой, активировать её и даже менять способы атаки.

Что может украсть KoSpy? 🕵️‍♂️

Когда вредоносное ПО получает команду, оно начинает действовать. KoSpy умеет:

• перехватывать SMS-сообщения и журналы вызовов;
• следить за местоположением GPS в реальном времени;
• получать доступ к файлам, изменять и загружать их;
• записывать аудио, делать фотографии и скриншоты;
• фиксировать нажатия клавиш, получая пароли и личные данные.
  

Все украденные данные перед отправкой на серверы шифруются с помощью AES. Это делает их практически неуязвимыми для перехвата, а использование Firebase Firestore затрудняет обнаружение вредоносного трафика.

Почему это так опасно?

KoSpy отличается от типичных вирусов своим продуманным управлением. Если обычное вредоносное ПО использует фиксированные серверы, которые можно заблокировать, то KoSpy получает адреса командных центров динамически. Если один сервер обнаружен и закрыт, хакеры просто отправляют новое местоположение через Firebase.

Кроме того, злоумышленники могут удалённо отключать и снова активировать ПО, загружать новые модули, расширяя его функциональность без необходимости повторного заражения. Это делает KoSpy очень живучим и сложным для обнаружения даже продвинутыми антивирусами.

Как защититься? 🔒

Google уже удалил вредоносные приложения из Play Store, но этот случай показывает, что даже официальный магазин не всегда безопасен. Чтобы не стать жертвой киберпреступников:

✅ Загружайте приложения только от известных разработчиков.
✅ Читайте отзывы пользователей – часто вредоносные программы разоблачают в комментариях.
✅ Убедитесь, что ваш телефон получает последние обновления безопасности.
✅ Установите надёжное антивирусное ПО для дополнительной защиты.