曹县黑客组织ScarCruft 是KoSpy安卓监控工具的幕后黑手

据称，与曹县有关的威胁组织 ScarCruft 是前所未见的 Android 监控工具KoSpy的幕后黑手，该工具针对韩语和英语用户。

Lookout 分享了该恶意软件活动的细节，称最早的版本可以追溯到 2022 年 3 月。最新的样本是在 2024 年 3 月被发现的，目前尚不清楚这些努力有多成功。

该公司在分析中表示： “KoSpy 可以通过动态加载的插件收集大量数据，例如短信、通话记录、位置、文件、音频和屏幕截图。”

这些恶意程序通过 Google Play 官方商店传播，使用文件管理器、电话管理器、智能管理器、软件更新实用程序和 Kakao 安全等名称来诱骗毫无戒心的用户感染自己的设备。

所有被识别的应用程序都提供了承诺的功能以避免引起怀疑，同时在后台秘密部署与间谍软件相关的组件。这些应用程序现已从应用程序市场中删除。

ScarCruft，又名 APT27 和 Reaper，是一个由曹县背景的网络间谍组织，自 2012 年以来一直活跃。该组织策划的攻击链主要利用RokRAT从Windows 系统中窃取敏感数据。此后， RokRAT已被改编为针对 macOS 和 Android 的攻击手段。

恶意 Android 应用程序一旦安装，就会联系 Firebase Firestore 云数据库以检索包含实际命令和控制 (C2) 服务器地址的配置。

Lookout 表示：“检索 C2 地址后，KoSpy 会确保该设备不是模拟器，并且当前日期已超过硬编码的激活日期。此激活日期检查可确保间谍软件不会过早暴露其恶意。”

KoSpy 能够下载其他插件和配置，以实现其监视目标。由于 C2 服务器不再活跃或不响应客户端请求，因此插件的确切性质仍不得而知。

该恶意软件旨在从受感染的设备收集各种数据，包括短信、通话记录、设备位置、本地存储中的文件、屏幕截图、按键、Wi-Fi 网络信息以及已安装应用程序的列表。它还具有录音和拍照功能。

Lookout 表示，它发现 KoSpy 活动与之前与另一个朝鲜黑客组织 Kimsuky（又名 APT43）有关的基础设施存在重叠。

技术报告：

https://www.lookout.com/threat-intelligence/article/lookout-discovers-new-spyware-by-north-korean-apt37

新闻链接：

https://thehackernews.com/2025/03/north-koreas-scarcruft-deploys-kospy.html