サイバーセキュリティ会社Lookoutによると、北朝鮮政権とつながりのあるハッカー集団がAndroid用スパイウェアをGoogle Playアプリストアにアップロードし、一部の人々をだましてダウンロードさせたという。 Lookoutは水曜日に発表した報告書の中で、同社がKoSpyと呼ぶ複数の異なるAndroidスパイウェアサンプルを使ったスパイ活動について詳述しており、このスパイウェアが北朝鮮政府の仕業であると「高い確信」を持っている。
公式 Android アプリ ストアのアプリ ページのキャッシュされたスナップショットによると、少なくとも 1 つのスパイウェア アプリが Google Play に登場し、10 回以上ダウンロードされています。 Lookout はレポートにページのスクリーンショットを含めました。
北朝鮮のハッカーらはここ数年、仮想通貨取引所バイビットから最近約14億ドルのイーサリアムを盗むなど、大胆な仮想通貨強盗で見出しを飾ってきた。しかし、この新しいスパイウェア活動では、Lookout によって特定されたスパイウェア アプリケーションの機能に基づく監視活動であることがあらゆる兆候で示されています。
北朝鮮のスパイウェア活動の標的は明らかではないが、Lookoutのセキュリティインテリジェンス調査ディレクター、クリストフ・ヘバイセン氏はTechCrunchに対し、ダウンロード数が少なかったため、スパイウェア・アプリケーションは特定のグループをターゲットにした可能性が高いと語った。
Lookout によると、KoSpy はテキスト メッセージ、通話記録、デバイスの位置データ、デバイス上のファイルとフォルダー、ユーザーが入力したキーストローク、Wi-Fi ネットワークの詳細、インストールされているアプリのリストなどの「大量の機密情報」を収集します。
KoSpyは、使用中に音声を録音したり、携帯電話のカメラで写真を撮ったり、スクリーンショットを撮ったりすることもできます。
Lookout はまた、KoSpy が「初期設定」の取得に Google Cloud Infrastructure 上に構築されたクラウド データベースである Firestore に依存していることも発見しました。
Googleの広報担当者Ed Fernandez氏は、mLookoutが報告書を同社と共有し、Google PlayのKoSpyサンプルを含む「確認されたすべてのアプリがPlayから削除され、Firebaseプロジェクトが非アクティブ化された」と述べた。 Google Play は、ユーザーの Android デバイスを既知のバージョンのマルウェアから自動的に保護します。 」
Googleは、報告書を北朝鮮政権によるものとすることに同意するかどうかや、Lookout報告書に関するその他の詳細など、報告書に関する一連の具体的な質問についてはコメントしなかった。
このレポートでは、Lookout がサードパーティのアプリストア APKPure でいくつかのスパイウェア アプリを発見したとも述べています。 APKPureの広報担当者は、同社はLookoutから「いかなる電子メールも」受け取っていないと述べた。
Lookout社のヘベイセン氏と上級セキュリティインテリジェンス研究員のアレムダール・イスラモグル氏は、Lookout社は具体的に誰が標的になったのか、つまりハッキングされた可能性があるのかについては情報を持っていないが、同社はこれが高度に標的を絞ったキャンペーンであったと確信しており、標的となったのはおそらく韓国の英語か韓国語を話す人々であると述べた。
レポートによると、Lookout は発見したアプリ名に基づいて評価を行い、その一部は韓国語であり、一部のアプリには韓国語のタイトルと両方の言語をサポートするユーザー インターフェイスがあったと述べています。
また、Lookout は、これらのスパイウェア アプリケーションが使用するドメイン名と IP アドレスが、北朝鮮政府のハッキング グループ APT37 および APT43 が使用するマルウェアと指揮統制インフラストラクチャに存在することが以前に確認されていることも発見しました。
「北朝鮮の脅威アクターのユニークな点は、彼らが公式アプリストアにアプリを導入することにしばしば成功しているように見えることだ」とヘベイセン氏は述べた。