研究发现：多款Android应用秘密上传用户信息至朝鲜政府

研究人员发现，多款Android应用在通过Google Play的安全审查后，仍秘密将用户的敏感信息上传至朝鲜政府控制的服务器。这些恶意软件被安全公司Lookout命名为KoSpy，伪装成文件管理、系统更新和设备安全等实用工具应用。实际上，这些应用能够收集短信、通话记录、位置、文件、附近音频、截图等信息，并将其发送至朝鲜情报人员控制的服务器。这些应用主要针对英语和韩语用户，并已在包括Google Play在内的至少两个Android应用市场上架。

安装前需三思

这些监控软件伪装成以下五款不同的应用：

• 휴대폰 관리자 (Phone Manager)
• File Manager
• 스마트 관리자 (Smart Manager)
• 카카오 보안 (Kakao Security)
• Software Update Utility

除了Google Play，这些应用还在第三方应用市场Apkpure上架。这些应用的开发者邮箱为mailto:mlyqwl@gmail.com，隐私政策页面位于https://goldensnakeblog.blogs...。尽管该页面在发布时仍可访问，且未在Virus Total上报告恶意行为，但托管命令和控制服务器的IP地址此前曾托管过至少三个已知用于朝鲜间谍活动的域名。

恶意软件的功能

KoSpy通过动态加载的插件收集大量敏感信息，包括：

• 短信
• 通话记录
• 设备位置
• 本地存储的文件和文件夹
• 录音和拍照
• 截图或屏幕录制
• 通过滥用无障碍服务记录按键
• WiFi网络详情
• 已安装应用列表

收集到的数据使用硬编码的AES密钥加密后发送至C2服务器。Lookout研究人员在分析KoSpy样本时观察到五个不同的Firebase项目和五个不同的C2服务器。

Google的回应

Google代表未回应关于KoSpy应用在Google Play上架数量及时间跨期的询问，但表示最新样本在未获得任何下载前已被移除。Google还指出，Google Play Protect可以检测到一些恶意应用，即使这些应用来自Play以外的来源。

背景与建议

Lookout表示，有中等信心认为这些恶意应用由朝鲜间谍组织APT37（ScarCruft）和APT43（Kimsuki）背后操纵。Android用户在安装应用前应仔细考虑，许多应用实际上并无实际益处，如Lookout检测到的这些应用。在某些情况下，普通移动浏览器即可完成相同任务。担心设备上可能安装了这些应用的用户应检查Lookout在周三发布的文章中提供的威胁指标。