يتسلل المتسللون في حكومة كوريا الشمالية عن برامج التجسس على متجر تطبيقات Android

قامت مجموعة من المتسللين الذين لديهم روابط بنظام كوريا الشمالية بتحميل برامج التجسس Android على متجر تطبيقات Google Play وتمكنوا من خداع بعض الأشخاص لتنزيله ، وفقًا لشركة Cybersecurity Lookout.

في تقرير نُشر يوم الأربعاء ، ومشاركته حصريًا مع TechCrunch في وقت مبكر ، تفاصيل Lookout حملة تجسس تتضمن عدة عينات مختلفة من برامج التجسس Android التي تسميها Kospy ، والتي تعزوها الشركة بـ “ثقة عالية” إلى حكومة كوريا الشمالية.

كان أحد تطبيقات برامج التجسس على الأقل في مرحلة ما على Google Play وقام بتنزيل أكثر من 10 مرات ، وفقًا لما ذكرته لقطة مخزنة مؤقتًا في صفحة التطبيق على متجر تطبيقات Android الرسمي. تضمنت Lookout لقطة شاشة للصفحة في تقريرها.
في السنوات القليلة الماضية ، احتلت المتسللين الكوريين الشماليين عناوين الصحف خاصةً لسرقة التشفير الجريئة ، مثل السرقة الأخيرة التي تبلغ حوالي 1.4 مليار دولار من Ethereum من Crypto Exchange Bybit ، بهدف تعزيز برنامج الأسلحة النووية المحظورة في البلاد. في حالة حملة برامج التجسس الجديدة هذه ، تشير جميع العلامات إلى أن هذه عملية مراقبة ، بناءً على وظائف تطبيقات برامج التجسس التي تم تحديدها بواسطة Lookout.

أهداف حملة برامج التجسس الكورية الشمالية غير معروفة ، لكن كريستوف هيبيسن ، مدير أبحاث الأمن في مجال ذكاءات الأمن في Lookout ، لـ TechCrunch أنه من خلال بعض التنزيلات ، من المحتمل أن يستهدف تطبيق Spyware أشخاصًا محددين.

وفقًا لـ Lookout ، تقوم Kospy بجمع “كمية واسعة من المعلومات الحساسة” ، بما في ذلك: الرسائل النصية SMS ، وسجلات المكالمات ، وبيانات موقع الجهاز ، والملفات والمجلدات على الجهاز ، وضغط المفاتيح المتمثل في المستخدم ، وتفاصيل شبكة Wi-Fi ، وقائمة من التطبيقات المثبتة.

يمكن لـ Kospy أيضًا تسجيل الصوت ، والتقاط الصور باستخدام كاميرات الهاتف ، والتقاط لقطات شاشة للشاشة المستخدمة.

وجد Lookout أيضًا أن Kospy اعتمدت على Firestore ، وهي قاعدة بيانات سحابة مبنية على البنية التحتية السحابية من Google لاسترداد “التكوينات الأولية”.

وقال المتحدث الرسمي باسم Google إد فرنانديز لـ TechCrunch إن Lookout شاركت تقريرها مع الشركة ، و “تمت إزالة جميع التطبيقات المحددة من اللعب [and] تم إلغاء تنشيط مشاريع Firebase ، “بما في ذلك عينة Kospy التي كانت على Google Play.

وقال فرنانديز: “يحمي Google Play تلقائيًا المستخدمين من إصدارات معروفة من هذه البرامج الضارة على أجهزة Android مع خدمات Google Play”.

لم تعلق Google على سلسلة من الأسئلة المحددة حول التقرير ، بما في ذلك ما إذا كانت Google تتفق مع الإسناد إلى نظام كوريا الشمالية ، وتفاصيل أخرى حول تقرير Lookout.

وقال التقرير أيضًا أن Lookout وجد أن بعض تطبيقات برامج التجسس على متجر تطبيقات الطرف الثالث Apkpure. وقال متحدث باسم Apkpure إن الشركة لم تتلق “أي بريد إلكتروني” من Lookout.

لم يستجب الشخص ، أو الأشخاص ، الذي يتحكم في عنوان البريد الإلكتروني للمطور المدرج في صفحة تشغيل Google التي تستضيف تطبيق Spyware لطلب TechCrunch للتعليق.

أخبرت شركة Lookout Hebeisen ، إلى جانب Alemdar Islamoglu ، الباحث الكبير في الاستخبارات الأمنية للموظفين ، TechCrunch أنه على الرغم من أن Lookout ليس لديه أي معلومات حول من قد يكون على وجه التحديد قد تم استهدافه – تم اختراقه ، بشكل فعال – إن الشركة واثقة من أن هذه كانت حملة مستهدفة للغاية ، على الأرجح تتبع الأشخاص في كوريا الجنوبية ، الذين يتحدثون الإنجليزية أو الكورية.

يعتمد تقييم Lookout على أسماء التطبيقات التي وجدوها ، وبعضها باللغة الكورية ، وأن بعض التطبيقات لها عناوين اللغة الكورية ودعم واجهة المستخدم كلتا اللغتين ، وفقًا للتقرير.

وجدت Lookout أيضًا أن تطبيقات برامج التجسس تستخدم أسماء النطاق وعناوين IP التي تم تحديدها مسبقًا على أنها موجودة في البرامج الضارة والبنية التحتية للسيطرة والتحكم التي تستخدمها مجموعات القرصنة في كوريا الشمالية APT37 و APT43.

وقال هيبيسن: “الشيء الرائع حول ممثلي التهديد في كوريا الشمالية هو أنهم ، على ما يبدو ، ناجحًا إلى حد ما في إدخال التطبيقات في متاجر التطبيقات الرسمية”.