KosPy: Alles über die nordkoreanische Spyware, die Android weltweit angegriffen hat

  • KosPy ist eine fortschrittliche Spyware, die über betrügerische Apps im Google Play Store und alternativen Stores verbreitet wird.
  • Die Schadsoftware wurde mit staatlich geführten nordkoreanischen Cyberspionagegruppen wie APT37 (ScarCruft) und APT43 (Kimsuky) in Verbindung gebracht.
  • Es exfiltrierte persönliche Daten, Nachrichten, Anrufe und Standortdaten, kontrollierte kritische Telefonfunktionen und wurde nach einer Warnung der Lookout-Experten eliminiert.
Joaquin Romero

9 Minuten

Erfahren Sie alles über KosPy, die nordkoreanische Spyware.

Die Sicherheit von Android-Geräten steht nach der Entdeckung einer ausgeklügelten digitalen Spionagekampagne aus Nordkorea wieder im Rampenlicht. Der Protagonist dieser komplizierten Handlung ist KosPy, eine Spyware, die es, getarnt als legitime Anwendung, geschafft hat, Tausende von Mobiltelefonen auf der ganzen Welt zu infizieren und persönliche und vertrauliche Daten von Benutzern in verschiedenen Ländern zu sammeln. In diesem ausführlichen Artikel erläutern wir alles, was wir über KosPy wissen – von seinem Ursprung, seiner Verbreitungsmethode und seinen technischen Möglichkeiten bis hin zu den Maßnahmen, die ergriffen wurden, um seine Verbreitung zu stoppen. Außerdem geben wir hilfreiche Empfehlungen, wie Sie sich in Zukunft vor ähnlichen Bedrohungen schützen können.

Wenn Sie schon einmal eine App zum Verwalten Ihrer Dateien oder zur Verbesserung der Sicherheit Ihres Android aus Stores wie dem Google Play Store oder alternativen Plattformen heruntergeladen haben, ist dies für Sie von großem Interesse. Sehen wir uns an, wie diese Spyware Sicherheitskontrollen umging, welche Art von Informationen sie sammeln konnte, warum sie als Bedrohung mit Verbindungen zum nordkoreanischen Geheimdienst gilt und wie man Warnsignale erkennt, bevor es zu spät ist.

Was ist KosPy und wer steckt dahinter?

KosPy ist ein Spyware-Programm, das auf Android-Geräten erkannt wurde und direkt mit vom nordkoreanischen Staat unterstützten Cyberspionagegruppen in Verbindung steht. Seine Existenz wurde vom Lookout-Team dokumentiert, einem auf Bedrohungen für Mobilgeräte spezialisierten Cybersicherheitsunternehmen, das feststellte, dass diese Malware auf scheinbar harmlosen Apps gehostet wurde, die sowohl im Google Play Store als auch in App-Stores von Drittanbietern wie APKPure verfügbar waren.

So senden Sie Live-Fotos auf WhatsApp
Verwandte Artikel:
WhatsApp warnt vor Spyware, die die mobile Sicherheit gefährdet

KosPy wird hauptsächlich einer Gruppe zugeschrieben, die als APT37 oder ScarCruft, das seit über einem Jahrzehnt für seine mit der nordkoreanischen Regierung verbundenen Cyberspionage-Operationen bekannt ist. Nicht nur das: Die von KosPy genutzte digitale Infrastruktur ist mit einer anderen bekannten Gruppe, Kimsuky (APT43), verbunden.und erfordert ein Maß an Koordination und technischen Ressourcen, das sich nur staatliche Akteure leisten können.

Vorsicht vor KosPy, der von Nordkorea entwickelten Spyware

Verbreitungsmethoden: So infiltrierte KosPy Tausende Androiden

Die große Genialität (und Gefahr) von KosPy liegt in seiner Verbreitungsmethode, da es ihm gelang, die strengen Kontrollen von Google zu umgehen und sich einzuschleichen, als wäre es eine echte App., ein Problem, das das Vertrauen in offizielle App-Stores gefährdet.

Zu den bemerkenswertesten Techniken gehören:

  • Betrügerische Anwendungen, getarnt als Dienstprogramme (Dateimanager, Dienstprogramme zur Softwareaktualisierung, Sicherheitsverbesserungen usw.).
  • Anwesenheit von Grundlegende Schnittstellen und Titel in Englisch und Koreanisch, das sich an ein bestimmtes Publikum richtet.
  • Einbindung von KosPy in Apps wie «Handy-Manager (Telefonmanager)», «Datei-Manager«,«Smart Manager (Smart-Manager)», «Kakao-Sicherheit (Kakao Security)» und «Software-Update-Dienstprogramm«. Alle sind im Google Play Store legal zugelassen und sogar auf APKPure repliziert.
  • Plattformmanipulation Firebase als Kommando- und Kontrollinfrastruktur (C2) und um zusätzliche Konfigurationen dynamisch herunterzuladen, sobald die App auf dem Gerät des Opfers installiert ist.

Der Entwickler dieser Apps agierte unter dem Pseudonym „Android Utility Developer“ und gab sogar Kontakt-E-Mail-Adressen an, um nicht aufzufallen. Nach der Warnung der Forscher entfernte Google nicht nur alle infizierten Apps aus seinem Store, sondern deaktivierte auch die zugehörigen Firebase-Projekte und unterbrach so den Kommunikationskanal zwischen den kompromittierten Geräten und den Servern der Cyberkriminellen.

Wie verhält sich KosPy, wenn es das Gerät infiziert hat?

Die Hauptsorgen im Zusammenhang mit KosPy betreffen die große Bandbreite an Daten, die es sammeln kann, und die Komplexität seiner Extraktionsmethoden. Wenn Sie eine dieser gefälschten Apps öffnen, wird KosPy im Hintergrund gestartet. Es bettet seinen Schadcode ein, um unentdeckt zu bleiben, und fordert erweiterte Zugriffsberechtigungen an.

Zu den wichtigsten technischen Fähigkeiten von Spyware gehören:

  • Lesen und Exfiltration von SMS-Nachrichten.
  • Erhalten Anrufprotokolle und Kontakte.
  • GPS-Standortüberwachung, Benutzerverfolgung in Echtzeit.
  • Zugang zu Dateien und Ordner, die lokal auf dem Telefon gespeichert sind.
  • Aufnahme von Umgebungsgeräusche Verwenden des Mikrofons und Aufnehmen von Fotos durch die Kamera.
  • Erfassung von Screenshots und Bildschirmaufnahmen, die buchstäblich alles ausspionieren, was auf dem Mobiltelefon angesehen oder getan wird.
  • Protokollieren von Tastatureingaben und App-Nutzung durch Nutzung von Eingabehilfediensten, wodurch möglicherweise Passwörter und Anmeldeinformationen abgefangen werden können.
  • Einholen von Informationen über WLAN-Netzwerke, mit denen das Gerät eine Verbindung herstellt und Liste der installierten Anwendungen.

Die Daten werden verschlüsselt (mithilfe eines vordefinierten AES-Algorithmus) an C2-Server übertragen, die von nordkoreanischen Hackern kontrolliert werden. Dadurch ist es für herkömmliche Erkennungssysteme schwierig, das Informationsleck zu identifizieren.

Auf wen zielte KosPy ab?

Obwohl sich KosPy weltweit verbreitet hat, zielten die meisten Angriffe auf koreanisch- und englischsprachige Benutzer.. Die Sprache der Apps und die angeforderten Berechtigungen waren einer der Hinweise, die zum Herausfiltern potenzieller Opfer verwendet wurden, die eindeutig Südkorea und englischsprachige Länder im Visier hatten. Die Analysen zeigen jedoch auch detaillierte Angaben zu Infektionen in anderen Regionen, darunter Japan, Vietnam, Russland, Nepal, China, Indien, Kuwait, Rumänien und mehreren Staaten des Nahen Ostens.

Dies deutet auf eine strategisches Interesse auf internationaler Ebene, entweder um auf relevante persönliche Informationen zuzugreifen oder um politische, geschäftliche oder technologische Entwicklungen auszuspionieren.

Verwenden Sie Airtag, um ein Android-Handy auszuspionieren
Verwandte Artikel:
Verwenden Sie Airtag, um ein Android-Handy auszuspionieren

Kampagnenentwicklung und Googles Reaktion

Die erste dokumentierte Bewegung von KosPy geht auf März 2022 zurück, die jüngsten Proben wurden jedoch auf Anfang letzten Jahres zurückverfolgt.. Laut Google und Lookout wurden alle zugehörigen Apps aus dem Play Store entfernt, nachdem die Existenz der Malware bestätigt wurde. Darüber hinaus blockiert Google Play Protect derzeit die Installation bekannter KosPy-Varianten, selbst wenn diese von außerhalb des offiziellen Stores heruntergeladen werden.

Jedoch Es gibt keine öffentlichen Daten darüber, wie viele Downloads vor der Rücknahme erfolgten oder wie viele Varianten möglicherweise unentdeckt im Umlauf waren.. Daher wird empfohlen, die App-Berechtigungen aktiv zu überwachen und Android und alle Apps mit den neuesten Sicherheitsversionen auf dem neuesten Stand zu halten.

Beziehung zwischen KosPy, ScarCruft (APT37), Kimsuky (APT43) und dem nordkoreanischen Geheimdienst

Die Zuordnung von KosPy zur nordkoreanischen staatlichen Cyberspionage wird durch mehrere technische und infrastrukturelle Details gestützt:

  • Die verwendete Infrastruktur (IP-Adressen und Domänen für C2-Server) wurde seit mindestens 2019 bei früheren Angriffen verwendet, die Nordkorea zugeschrieben werden.
  • Schädliche Anwendungen verwenden dieselben Techniken, Taktiken und Verfahren (TTPs) wie ScarCruft/APT37-Kampagnen.
  • Ein Teil des Codes und der Infrastruktur wurde auch mit Kimsuky/APT43 verknüpft, was auf eine mögliche Zusammenarbeit oder gemeinsame Nutzung von Ressourcen zwischen den beiden Gruppen hindeutet.
  • Die Sprache, der regionale Schwerpunkt und die Art der gestohlenen Informationen passen zu Interessen, die traditionell mit dem nordkoreanischen Geheimdienst in Verbindung gebracht werden.

Diese Überschneidung der Methoden und Ziele nordkoreanischer APT-Gruppen führt manchmal dazu, dass die Zuordnung eines bestimmten Angriffs nicht hundertprozentig genau ist, die Quelle für Sicherheitsexperten jedoch klar ist.

Liste der wichtigsten infizierten Anwendungen

Wenn Sie Fragen zu Apps haben, die Sie auf Ihrem Android installiert haben, sehen Sie sich diese Namen an, die in Lookout-Berichten bestätigt und von den Medien erwähnt wurden:

  • 휴대폰 관리자 (Telefonmanager)
  • Datei-Manager
  • 스마트 관리자 (Smart Manager)
  • Kakao-Sicherheit
  • Software-Update-Dienstprogramm

Diese Apps wurden sowohl in Google Play Store wie auf Plattformen Download-Alternativen wie APKPure. Wenn Sie eines dieser Probleme auf Ihrem Gerät entdecken, löschen Sie die App sofort und ändern Sie alle Passwörter. Führen Sie außerdem einen Sicherheitsscan mit einer seriösen App durch.

Verwandte Artikel:
XNSPY, die beste Spionagesoftware für Ihr Smartphone

Welche Art von Informationen hat KosPy gestohlen und wie ist ihm das passiert?

Der Umfang der Zugriffe und die Menge der von KosPy gesammelten Daten übersteigen bei weitem das, was für gängige mobile Malware typisch ist. Zu den extrahierten Informationen gehören:

  • Textnachrichten (SMS und ggf. andere Messaging-Dienste)
  • Vollständige Details der Anrufprotokolle: Nummern, Dauer, Uhrzeit und Datum
  • Koordinaten der Mobiltelefonposition in Echtzeit
  • Dokumente, Bilder und Dateien aus dem internen Speicher
  • Vom Mikrofon aufgenommene Geräusche: Gespräche, Umgebungsgeräusche usw.
  • Fotos, die aufgenommen wurden, als die Kamera im Hintergrund aktiviert war
  • Bildschirmaufnahmen und Aufzeichnungen, die es Ihnen ermöglichen, alles zu sehen, was der Benutzer angesehen oder eingegeben hat
  • Keylogging durch Missbrauch von Zugriffsberechtigungen
  • WLAN-Netzwerkinformationen und Liste der installierten Apps

Zusätzlich Alle diese Informationen wurden verschlüsselt über geschützte Kanäle an die Command-and-Control-Server (C2) gesendet., was die Erkennung mit herkömmlichen Antiviren-Tools erschwerte.

Wichtige Tipps, um Fallen wie KosPy zu vermeiden

Experten und Analysten, die nach der Entdeckung von KosPy befragt wurden, raten zu äußerster Vorsicht, da selbst die Installation von Apps ausschließlich aus dem Google Play Store keine absolute Sicherheit garantiert. Zu den Tipps gehören:

  • Überprüfen Sie immer die Bewertungen und Beurteilungen von Apps und seien Sie vorsichtig bei Apps mit wenigen Kommentaren oder negativen Bewertungen.
  • Überprüfen Sie den Namen des Entwicklers, suchen Sie nach zusätzlichen Informationen über ihn und prüfen Sie, ob es sich um eine vertrauenswürdige und anerkannte Einrichtung handelt.
  • Achten Sie auf die Anzahl der Downloads: Wenn die App neu ist oder sehr niedrige Downloadraten aufweist, seien Sie besonders vorsichtig.
  • Stellen Sie sicher, dass Ihr Betriebssystem und Ihre Anwendungen immer auf dem neuesten Stand sind, da die meisten Sicherheitslücken durch offizielle Patches behoben werden.
  • Erteilen Sie jeder App nur die unbedingt erforderlichen Berechtigungen. Fordert eine Dateiverwaltungsanwendung Zugriff auf das Mikrofon oder die Kamera an, ist das ein Grund zur Sorge.
  • Wenn Sie eine der identifizierten infizierten Apps installiert haben, entfernen Sie sie sofort, ändern Sie Ihre Passwörter und führen Sie eine vollständige Sicherheitsüberprüfung durch.
  • Erwägen Sie die Installation einer vertrauenswürdigen mobilen Sicherheitslösung, um Ihr Schutzniveau und die kontinuierliche Überwachung zu erhöhen.

Die globale Reaktion und die aktuelle Situation

Nach der umfassenden Medienberichterstattung über KosPy und der von Lookout geleiteten Untersuchung hat Google seine Kontrollen und sein Play Protect-System verstärkt und blockiert und entfernt alle bekannten Varianten dieser Spyware. Darüber hinaus ist die internationale Zusammenarbeit zwischen Cybersicherheitsunternehmen und Technologiegiganten von entscheidender Bedeutung, um diese Bedrohungen zu neutralisieren, bevor sie sich ausbreiten.

Seit der Entfernung von KosPy sind keine neuen Fälle von Masseninfektionen über den Google Play Store aufgetreten. Dennoch ist es wichtig, wachsam zu bleiben, da die Angreifer ihre Techniken ständig weiterentwickeln.

Die Entdeckung von KosPy hat die zunehmende Raffinesse der digitalen Spionage im Android-Ökosystem verdeutlicht und gezeigt, dass niemand davor gefeit ist, Opfer zu werden. Die Zusammenarbeit zwischen staatlichen Akteuren und Hackergruppen wie ScarCruft und Kimsuky, die Ausnutzung offizieller Stores und die Fähigkeit, sich als scheinbar harmlose Apps zu tarnen, unterstreichen die Bedeutung eines proaktiven Ansatzes für den digitalen Schutz.

So verwandeln Sie Ihr Android in eine Spionagekamera
Verwandte Artikel:
So verwandeln Sie Ihr Android in eine Spionagekamera

Aktive Überwachung, kritische Analyse der Genehmigungen und kontinuierliche Aktualisierung sind die besten Barrieren gegen diese Bedrohungen. Geben Sie die Informationen weiter, damit auch andere Benutzer über die Neuigkeiten informiert sind..


Folgen Sie uns auf Google News