朝鲜黑客开发新型安卓监控工具，伪装实用应用肆虐全球

朝鲜黑客组织ScarCruft开发了名为KoSpy的新型安卓监控工具，伪装成实用工具应用，针对韩语和英语用户进行间谍活动。

与朝鲜存在关联的威胁组织ScarCruft被指开发了一款名为KoSpy的新型安卓监控工具，主要针对韩语和英语用户。网络安全公司Lookout披露了该恶意活动的细节，称其最早版本可追溯至2022年3月，最新样本于2024年3月被标记，具体攻击成功率尚不明确。

Lookout在分析报告中指出："KoSpy可通过动态加载插件收集短信、通话记录、定位信息、本地文件、音频和屏幕截图等大量数据。"

恶意程序伪装成Google Play官方商店中的实用工具应用，使用"文件管理器"、"手机管家"、"智能管理器"、"软件更新工具"和"Kakao安全组件"等名称诱骗用户安装。

所有被识别的应用均提供宣称的功能以避免引起怀疑，同时在后台秘密部署间谍组件。目前这些应用已从应用市场下架。

ScarCruft又名APT27和Reaper，是自2012年开始活跃的朝鲜政府支持型网络间谍组织。该组织主要通过RokRAT木马从Windows系统窃取敏感数据，该木马后续已适配macOS和Android系统。

安装恶意安卓应用后，程序会连接Firebase Firestore云数据库获取包含实际命令与控制（C2）服务器地址的配置。这种利用Firestore等合法服务作为死投解析器的两阶段C2机制兼具灵活性与隐蔽性，允许攻击者随时更换C2地址并保持隐蔽运作。

Lookout表示："在获取C2地址后，KoSpy会验证设备是否非模拟器，并确认当前日期是否超过硬编码的激活日期。这种激活日期检查机制确保间谍软件不会过早暴露恶意意图。"

KoSpy能够下载额外插件和配置以实现监控目标。由于C2服务器已停止活动或未响应请求，插件的具体功能尚不明确。

该恶意软件设计用于从受感染设备收集短信、通话记录、设备定位、本地存储文件、屏幕截图、键盘记录、Wi-Fi网络信息和已安装应用列表等广泛数据，同时具备录音和拍照功能。Lookout指出KoSpy攻击活动的基础设施与先前归因于另一朝鲜黑客组织Kimsuky（又称APT43）的行动存在重叠。

此次披露恰逢Socket安全团队发现六个植入已知信息窃取木马BeaverTail的npm软件包，该木马与朝鲜持续进行的"Contagious Interview"攻击行动相关。已移除的软件包列表如下：

• is-buffer-validator

• yoojae-validator

• event-handle-package

• array-empty-validator

• react-event-dependency

• auth-validator

这些软件包旨在收集系统环境详情及谷歌Chrome、Brave、Mozilla Firefox等浏览器存储的凭证，同时针对Solana的id.json和Exodus的exodus.wallet等加密货币钱包文件进行窃取。

Socket研究员Kirill Boychenko表示："这六个累计下载量超330次的新软件包高度模仿主流可信库名称，采用了与Lazarus组织关联攻击者相同的拼写错误（typosquatting）策略。此外，该APT组织为其中五个恶意包创建并维护了GitHub仓库，通过伪装开源项目合法性提高有害代码渗入开发者工作流程的概率。"

该发现同时关联一项针对加密货币行业的新攻击活动，攻击者使用基于Rust开发的macOS恶意软件RustDoor（又名ThiefBucket）及此前未记录的Koi Stealer家族macOS变种。

帕洛阿尔托网络Unit 42团队表示，攻击者特征与Contagious Interview存在相似性，并以中等置信度评估该活动系为朝鲜政权服务。具体攻击链涉及伪造的"工作面试"项目，当通过微软Visual Studio执行时，会尝试下载并运行RustDoor。

该恶意软件随后从LastPass Chrome扩展窃取密码，将数据外传至外部服务器，并下载两个用于开启反向Shell的bash脚本。

感染最终阶段会检索并执行另一有效载荷——伪装成Visual Studio的Koi Stealer macOS版本，诱骗受害者输入系统密码，从而收集并窃取设备数据。

安全研究人员Adva Gabay和Daniel Frank指出："该行动凸显全球机构面临精密社会工程攻击的风险，此类攻击旨在渗透网络并窃取敏感数据与加密货币。当攻击者系国家级威胁组织时，相关风险远高于纯经济动机的网络犯罪。"

转载请注明出处@安全威胁纵横，封面由ChatGPT生成；

消息来源：https://thehackernews.com/2025/03/north-koreas-scarcruft-deploys-kospy.html

    更多网络安全视频，请关注视频号“知道创宇404实验室”

原文始发于微信公众号（安全威胁纵横）：朝鲜黑客开发新型安卓监控工具，伪装实用应用肆虐全球