Šiaurės Korėjos programišių grupei pavyko užkrėsti daugybę išmaniųjų telefonų itin pavojinga kenkėjiška programine įranga. Nuo šnipinėjimo įrankio nelieka nieko paslėpta – nuo vietinių failų iki asmeninių vaizdo įrašų.
Saugumo bendrovės „Lookout“ tyrėjai nustatė daugybę programų, užkrėstų Šiaurės Korėjos šnipinėjimo programa „KoSpy“. Ši kenkėjiška programa gali lengvai šnipinėti išmaniųjų telefonų naudotojus, o dėl sudėtingo kodo ją sunku aptikti.
Šnipinėjimo programos iš Šiaurės Korėjos
„Lookout“ savo ataskaitoje „KoSpy“ kūrimą ir platinimą priskiria gerai žinomai Šiaurės Korėjos programišių grupei APT37. Saugumo tyrėjai daro prielaidą, kad „APT37“ naudojasi „Kimsuky“ – kitos Šiaurės Korėjos programišių grupės, dar žinomos kaip APT43 – infrastruktūra. Paveiktos programos vilioja naudotojus kaip tariamos pagalbinės programos.
Šnipinėjimo programinė įranga slapta perima informaciją
Šnipinėjimo programos gali fiksuoti klavišų paspaudimus, registruoti naršymo istoriją, įrašinėti pokalbius, daryti ekrano nuotraukas ir gauti prieigą prie asmeninės informacijos, pavyzdžiui, vartotojo vardų, slaptažodžių ir kredito kortelių duomenų. Paprastai ji veikia nepastebimai fone, todėl naudotojui sunku ją aptikti.
„KoSpy“ paslėpta tarnybinėse programose
Failų tvarkyklė suteikia prieigą prie išmaniojo telefono atminties, programinė įranga, pavadinta „Update Utility“, atveria programinės įrangos atnaujinimo funkciją „Android“ nustatymuose. Programa „Kakao Security“ apsimeta Pietų Korėjos interneto konglomerato „Kakao Corporation“ programėle. Programėlė neveikia, o vietoj jos rodoma tik sąsaja su išmaniojo telefono saugumo ir optimizavimo parinktimis. Tačiau jomis negalima naudotis, nes programa įgyja prieigos teises prie tokių dalykų kaip SMS, fono veikla ir SD kortelė.
Daugiausia dėmesio „KoSpy“ atakoms skiria angliškai ir korėjietiškai kalbantys naudotojai. Aptiktos programos yra abiem kalbomis. Kai kurias iš jų buvo galima rasti pačioje „Google Play“ parduotuvėje ir „Apkpure“ programėlių duomenų bazėje. Nuo to laiko visos programėlės buvo pašalintos iš atitinkamų platformų. Tačiau visi, kurie jau buvo įsidiegę šias programėles, dabar turi jas pašalinti rankiniu būdu:
- File Manager (com.file.exploer)
- Software Update Utility
- Phone Manager
- Smart Manager
- Kakao Security
Kuo „KoSpy“ tokia pavojinga?
Nors užkrėstos programėlės iš pirmo žvilgsnio atrodo gana teisėtos, „KoSpy“ įdiegiama fone. Šnipinėjimo programa gauna užšifruotą konfigūraciją iš „Firebase“ duomenų bazės „Cloud Firestore“. Tai leidžia įsilaužėliams nustatyti, ar „KoSpy“ turi įsijungti, ar išsijungti ir koks serverio adresas turi būti naudojamas tolesniam bendravimui.
Jei vadinamasis komandų ir valdymo serveris (C2) aptinkamas arba užblokuojamas, lengva pereiti prie kito C2. Kitame etape „KoSpy“ įsitikina, kad jis iš tikrųjų yra įdiegtas išmaniajame telefone, ir patikrina datą. Tokiu būdu šnipinėjimo programa užtikrina, kad jos tikroji funkcija būtų kuo ilgiau slepiama.
Jei „KoSpy“ yra aktyvuota, ji iš C2 serverio gauna tolesnius įskiepius ir konfigūracijas stebėjimo funkcijai vykdyti. „Lookout“ nustatė keletą įskiepių, kurie, be kita ko, gali skaityti SMS žinutes, skambučių žurnalus, įrenginio buvimo vietą, vietinius failus ir klavišų paspaudimus. „KoSpy“ netgi gali savarankiškai įrašinėti vaizdo įrašus ir nuotraukas, taip pat paleisti ekrano nuotraukas ir ekrano įrašus.
Šaltinis: techbook.de
Parašyti komentarą