Lookout 发现朝鲜 APT37 的新间谍软件

KoSpy 是一款新型 Android 间谍软件，据称由朝鲜组织 APT37 开发。它伪装成实用应用程序，以韩语和英语用户为目标。

该间谍软件于 2022 年 3 月首次被发现，目前仍处于活跃状态，新样本仍公开托管。它使用两阶段 C2 基础架构，从 Firebase 云数据库检索初始配置。

KoSpy 可以通过动态加载的插件收集大量数据，例如短信、通话记录、位置、文件、音频和屏幕截图。

该间谍软件支持韩语，其样本分布在 Google Play 和 Apkpure 等第三方应用商店。

有证据表明，该组织的基础设施与 APT43 共享，APT43 是另一个臭名昭著的朝鲜国家支持的组织，也称为 Kimsuky。

Lookout Threat Lab 的研究人员发现了一种新型 Android 监视工具，称为 KoSpy，该工具似乎针对韩语和英语用户。该间谍软件被中等程度地归因于朝鲜 APT 组织 ScarCruft（也称为 APT37），是一个相对较新的家族，早期样本可以追溯到 2022 年 3 月。最近的样本是在 2024 年 3 月获得的。

据观察，KoSpy 使用虚假的实用程序诱饵（例如“文件管理器”、“软件更新实用程序”和“Kakao 安全”）来感染设备。该间谍软件利用 Google Play 商店和 Firebase Firestore 分发应用程序并接收配置数据。报告中提到的所有应用程序都已从 Google Play 中移除，相关的 Firebase 项目已被 Google 停用。

ScarCruft 是一个由朝鲜政府支持的网络间谍组织，自 2012 年以来一直活跃。该组织主要针对韩国，但也在日本、越南、俄罗斯、尼泊尔、中国、印度、罗马尼亚、科威特和几个中东国家开展活动。 

KoSpy

Lookout 语料库中的 KoSpy 样本伪装成五种不同的应用程序：휴대폰 관리자（手机管理器）、文件管理器、스마트 관리자（智能管理器）、카카오 보안（Kakao 安全）和软件更新实用程序。带有实用程序诱饵的样本具有基本界面，可打开相关的内部手机设置视图。例如，软件更新实用程序会打开系统设置下的软件更新屏幕。文件管理器应用程序用作简单的文件浏览器，具有一些附加功能。另一方面，Kakao 安全应用程序没有任何有用的功能，并显示虚假的系统窗口并请求多项权限。

大多数 KoSpy 样本都提供了一些基本功能，但 Kakao Security 应用程序除外，因为它会卡在虚假的权限请求屏幕上。

在基本界面背后，KoSpy 首先从 Firebase Firestore 获取简单配置，然后启动间谍软件功能。此加密配置包含两个参数：“开”/“关”开关和命令与控制 (C2) 服务器地址。这种两阶段 C2 管理方法为威胁行为者提供了灵活性和弹性。他们可以在检测到或阻止 C2 的情况下随时启用或禁用间谍软件并更改 C2 地址。

检索 C2 地址后，KoSpy 会确保该设备不是模拟器，并且当前日期已超过硬编码的激活日期。此激活日期检查可确保间谍软件不会过早暴露其恶意意图。

C2 通信和基础设施

KoSpy 向 C2 地址发送两种不同类型的请求。一种用于下载插件，另一种用于检索监视功能的配置。插件请求应该接收加密的压缩二进制文件；但是，由于分析期间没有 C2 处于活动状态，因此无法确认这一点。配置请求设置为接收 JSON 文档，该文档配置以下设置：C2 ping 频率、以韩语和英语向用户显示的消息、下载插件的 URL 以及要动态加载的类名。

一些 KoSpy C2 域仍然在线，但它们不响应客户端请求。

上图显示了“conf”请求的示例。该请求是 HTTP POST 请求，有效负载为 JSON 格式。JSON 中的值经过加密和 Base64 编码，而字段名称为明文。“vtr”字段包含根据硬件指纹和 Android ID 生成的唯一受害者 ID。“type”字段可以是“conf”或“code”，以确定 C2 请求的类型。“pref”字段是一个复合字段，包含软件包名称、应用程序版本、设备语言、硬件详细信息和已启用权限列表等信息。

KoSpy 可以借助动态加载的插件在受害者设备上收集大量敏感信息。这些功能包括：

• 收集短信

• 收集通话记录

• 检索设备位置

• 访问本地存储上的文件和文件夹

• 使用相机录制音频和拍照

• 使用时截取屏幕截图或录制屏幕

• 滥用无障碍服务记录按键

• 收集 WiFi 网络详细信息

• 编译已安装应用程序的列表

收集的数据在使用硬编码的 AES 密钥加密后发送到 C2 服务器。Lookout 研究人员在分析可用的 KoSpy 样本时观察到了五个不同的 Firebase 项目和五个不同的 C2 服务器，这些可以在入侵指标部分中看到。

定位和分发

Lookout 研究人员认为，此次 KoSpy 攻击活动针对的是韩语和英语用户。超过一半的应用程序都使用韩语标题，用户界面支持两种语言：英语和韩语。如果设备语言设置为韩语，应用程序中的消息和文本字段将以韩语显示，否则将以英语显示。 

KoSpy 支持韩语，

KoSpy 的一些样本可从 Google Play Store 和第三方应用商店 Apkpure 下载。但是，目前 Google Play Store 上没有任何应用程序公开可用。文件管理器应用程序 (com.file.exploer) 的 Play Store 列表第 1页的缓存快照显示，该应用程序公开可用了一段时间，下载次数超过十次。快照还显示开发者帐户名为“Android Utility Developer”，开发者联系电子邮件地址为 mlyqwl@gmail[.]com。相关隐私政策页面设置为 https://goldensnakeblog.blogspot[.]com/2023/02/privacy-policy.html。列表还包含一个嵌入式 Youtube 视频来推广该应用。该视频已上传到 @filemanager-android 频道2，该频道还包含一个 Youtube Shorts 视频。

归因

Lookout 研究人员发现，此次 KoSpy 活动与之前两个朝鲜威胁组织 APT43 和 APT37 的恶意活动存在关联。KoSpy 的 C2 域名之一 st0746[.]net 将3解析为位于韩国的 IP 地址 27.255.79[.]225。该 IP 地址过去与许多潜在的与韩国相关的恶意域名相关联：

KoSpy C2 域通过共享基础设施与可疑域绑定。

据报道，域名 naverfiles[.]com 和 mailcorp[.]center 4参与了使用 Konni 桌面恶意软件针对韩国用户的攻击。Konni 5是一个与 APT37 6威胁行为者有关的 Windows RAT 家族。

据报道，与同一 IP 地址绑定的另一个域名 nidlogon[.]com是微软 Thallium（又名 Kimsuky，APT43）的命令和控制基础设施的一部分。

除了与 APT37 的联系外，此次 KoSpy 活动还与另一个朝鲜黑客组织 APT43 使用的基础设施有关。众所周知，朝鲜威胁行为者拥有重叠的基础设施、目标和 TTP，这使得归因于特定行为者更加困难。基于上述共享基础设施、共同目标和连接新近性，Lookout 研究人员将此 KoSpy 活动归因于 APT37，具有中等可信度。

攻击指标

文件

911d9f05e1c57a745cb0c669f3e1b67ac4a08601

cd62a9ab320b4f6be49be11c9b1d2d5519cc4860

2d1537e92878a3a14b5b3f55b32c91b099513ae0

f08f036a0c79a53f6b0c9ad84fb6eac1ac79c168

df39ab90c89aa77a92295721688b18e7f1fdb38d

ea6d12e4a465a7a44cbad12659ade8a4999d64d1

1cc97e490b5f8a582b6b03bdba58cb5f1a389e78

1a167b65be75fd0651bbda072c856628973a3c1e

985fd1f74eb617b1fea17095f9e991dcaceec170

744e5181e76c68b8b23a19b939942de9e1db1daa

062a869caac496d0182decfadc57a23057caa4ab

b84604cad2f3a80fb50415aa069cce7af381e249

3278324744e14ddf4f4312d375f82b31026f51b5

5639fa1fa389ed32f8a8d1ebada8bbbe03ac5171

C2 域名

joinupvts[.]org

resolveissue[.]org

crowdon[.]info

resolveissue[.]org

st0746[.]net

原文始发于微信公众号（Ots安全）：Lookout 发现朝鲜 APT37 的新间谍软件