Laut der Cybersicherheitsfirma Lookout hat eine Gruppe von Hackern mit Verbindungen zum nordkoreanischen Regime Android-Spyware in den Google Play App Store hochgeladen und einige Leute dazu verleitet, sie herunterzuladen. In einem am Mittwoch veröffentlichten Bericht beschreibt Lookout eine Spionagekampagne mit mehreren verschiedenen Android-Spyware-Beispielen, die das Unternehmen KoSpy nennt, und hat „ein hohes Maß an Vertrauen“, dass die Spyware das Werk der nordkoreanischen Regierung ist.
Laut einem zwischengespeicherten Schnappschuss der Seite der App im offiziellen Android App Store ist mindestens eine Spyware-App bei Google Play aufgetaucht und mehr als zehn Mal heruntergeladen worden. Lookout hat seinem Bericht einen Screenshot der Seite beigefügt.
Nordkoreanische Hacker haben in den letzten Jahren mit ihren kühnen Raubüberfällen auf Kryptowährungen für Schlagzeilen gesorgt, wie beispielsweise dem jüngsten Diebstahl von etwa 1,4 Milliarden US-Dollar in Ethereum von der Kryptowährungsbörse Bybit. Bei dieser neuen Spyware-Kampagne deuten jedoch alle Anzeichen darauf hin, dass es sich um eine Überwachungsoperation handelt, die auf den Fähigkeiten der von Lookout identifizierten Spyware-Anwendungen basiert.
Die Ziele der nordkoreanischen Spyware-Kampagne sind unklar, aber Christoph Hebeisen, Leiter der Sicherheitsforschung bei Lookout, sagte gegenüber TechCrunch, dass die Spyware-Anwendung wahrscheinlich auf eine bestimmte Personengruppe abzielte, da es nur eine geringe Anzahl an Downloads gab.
Laut Lookout sammelt KoSpy „eine große Menge sensibler Informationen“, darunter Textnachrichten, Anrufprotokolle, Gerätestandortdaten, Dateien und Ordner auf dem Gerät, vom Benutzer eingegebene Tastenanschläge, WLAN-Netzwerkdetails und eine Liste installierter Apps.
KoSpy kann während der Nutzung auch Audio aufzeichnen, Fotos mit der Kamera Ihres Telefons aufnehmen und Screenshots machen.
Lookout hat außerdem herausgefunden, dass KoSpy zum Abrufen von „Anfangskonfigurationen“ auf Firestore angewiesen ist, eine Cloud-Datenbank, die auf der Google Cloud-Infrastruktur basiert.
Google-Sprecher Ed Fernandez sagte, mLookout habe seinen Bericht mit dem Unternehmen geteilt und „alle bestätigten Apps wurden aus Play entfernt und das Firebase-Projekt wurde deaktiviert“, einschließlich des KoSpy-Beispiels bei Google Play. Google Play schützt die Android-Geräte der Nutzer automatisch vor bekannten Malware-Versionen. "
Zu einer Reihe konkreter Fragen zu dem Bericht äußerte sich Google nicht, darunter auch zu der Frage, ob Google damit einverstanden sei, ihn dem nordkoreanischen Regime zuzuschreiben, sowie zu anderen Details zum Lookout-Bericht.
In dem Bericht heißt es außerdem, dass Lookout einige Spyware-Apps im Drittanbieter-App-Store APKPure gefunden habe. Ein APKPure-Sprecher sagte, das Unternehmen habe „keine E-Mails“ von Lookout erhalten.
Hebeisen von Lookout und der leitende Sicherheitsforscher Alemdar Islamoglu sagten, dass Lookout zwar keine Informationen darüber habe, wer konkret angegriffen – gehackt – wurde, das Unternehmen aber zuversichtlich sei, dass es sich um eine äußerst gezielte Kampagne handele, bei der es sich bei den Zielen wahrscheinlich um Personen handelte, die in Südkorea Englisch oder Koreanisch sprechen.
In dem Bericht heißt es, dass Lookout seine Bewertung auf den gefundenen App-Namen beruhte, von denen einige auf Koreanisch waren, und dass einige Apps Titel auf Koreanisch und Benutzeroberflächen hatten, die beide Sprachen unterstützten.
Lookout stellte außerdem fest, dass die von diesen Spyware-Anwendungen verwendeten Domänennamen und IP-Adressen bereits zuvor in Malware und der Befehls- und Kontrollinfrastruktur der nordkoreanischen Hackergruppen APT37 und APT43 vorhanden waren.
„Das Besondere an nordkoreanischen Bedrohungsakteuren ist, dass es ihnen offenbar oft gelingt, Apps in offizielle App-Stores zu bringen“, sagte Hebeisen.