KoSpy 是一款由朝鲜黑客组织 APT37 开发的新型 Android 间谍软件,它伪装成实用工具类应用,主要瞄准韩语和英语用户。该软件于 2022 年 3 月首次被察觉,至今仍在活跃,新样本仍在公开托管。KoSpy 运用两阶段 C2 架构,从 Firebase 云数据库获取初始配置,能通过动态加载插件收集短信、通话记录、位置、文件、音频、屏幕截图等大量数据。它支持韩语,样本广泛散布于 Google Play 和 Apkpure 等第三方应用商店。并且,有证据表明 APT37 的基础设施与另一个臭名昭著的朝鲜国家支持组织 APT43(也叫 Kimsuky)存在共享情况。
Lookout Threat Lab 的研究人员发现了一款名为 KoSpy 的新型 Android 监视工具,其目标似乎锁定为韩语和英语用户。这款间谍软件被合理推断与朝鲜 APT 组织 ScarCruft(又称 APT37)相关,属于相对较新的恶意软件家族,早期样本可追溯至 2022 年 3 月,最近的样本则在 2024 年 3 月获取。据观察,KoSpy 通过伪装成诸如 “文件管理器”“软件更新实用程序”“Kakao 安全” 等虚假实用程序诱饵来感染设备,并借助 Google Play 商店和 Firebase Firestore 分发应用程序以及接收配置数据。不过,报告中涉及的所有应用程序已从 Google Play 移除,相关的 Firebase 项目也被 Google 停用。ScarCruft 是一个受朝鲜政府支持的网络间谍组织,自 2012 年起便活跃于网络,主要针对韩国,同时也在日本、越南、俄罗斯、尼泊尔、中国、印度、罗马尼亚、科威特及多个中东国家展开活动 。
在 Lookout 的语料库中,KoSpy 样本伪装成了五种不同类型的应用程序,分别为:“휴대폰 관리자”(手机管理器)、“文件管理器”、“스마트 관리자”(智能管理器)、“카카오 보안”(Kakao 安全)以及 “软件更新实用程序”。这些带有实用程序诱饵的样本具备基础界面,能够打开手机内部相关的设置视图。比如,“软件更新实用程序” 会直接跳转到系统设置中的软件更新屏幕;“文件管理器” 应用程序除了作为简易文件浏览器使用外,还具备一些额外功能。而 “Kakao 安全” 应用程序则没有任何实际的实用功能,只会显示虚假的系统窗口,并索要多项权限 。
在看似普通的基础界面背后,KoSpy 有着一套精心设计的运作流程。首先,它会从 Firebase Firestore 获取一份简单配置,随后便启动间谍软件功能。这份经过加密的配置包含两个关键参数:一个用于控制软件开启或关闭的 “开”/“关” 开关,以及命令与控制(C2)服务器的地址。这种采用两阶段的 C2 管理方式,为威胁行为者赋予了极大的灵活性与弹性。一旦 C2 服务器被检测到或者遭到阻止,他们能够随时启用或禁用间谍软件,同时还能更改 C2 地址,以此躲避追踪。
在成功检索到 C2 地址后,KoSpy 会进一步对设备进行检测,确保其并非模拟器,同时检查当前日期是否已超过硬编码设定的激活日期。设置这一激活日期检查机制,是为了确保间谍软件不会过早暴露其恶意目的,从而提高自身隐匿性 。
C2 通信和基础设施
KoSpy 会向 C2 地址发送两类不同请求。一类用于下载插件,另一类用于检索监视功能的配置信息。针对插件的请求,理应接收到经过加密的压缩二进制文件,不过,由于在分析期间并没有处于活动状态的 C2 服务器,所以这一点暂无法得到确认。配置请求则设定为接收 JSON 文档,该文档对以下设置进行配置:C2 服务器的 ping 频率、以韩语和英语呈现给用户的消息内容、用于下载插件的 URL 地址,以及需要动态加载的类名 。
如上图所示,为 “conf” 请求的一个示例。此请求采用 HTTP POST 方式,其有效负载为 JSON 格式。在该 JSON 中,值经过加密并进行 Base64 编码处理,而字段名称则以明文形式呈现。其中,“vtr” 字段包含依据硬件指纹与 Android ID 生成的唯一受害者标识。“type” 字段取值可为 “conf” 或 “code”,以此明确 C2 请求的具体类型。“pref” 字段属于复合字段,涵盖了软件包名称、应用程序版本、设备语言、硬件详情以及已启用权限列表等多方面信息。
KoSpy 能够借助动态加载的插件,在受害者设备上收集大量敏感信息,其涵盖的功能如下:
-
收集短信内容; -
收集通话记录; -
检索设备位置信息; -
访问本地存储中的文件与文件夹; -
利用相机进行音频录制和拍照; -
在设备使用过程中截取屏幕截图或录制屏幕画面; -
滥用无障碍服务来记录按键操作; -
收集 WiFi 网络详细信息; -
编译已安装应用程序的列表。
收集到的数据在利用硬编码的 AES 密钥加密后,会被发送至 C2 服务器。Lookout 研究人员在分析现有 KoSpy 样本时,观测到五个不同的 Firebase 项目以及五个不同的 C2 服务器,相关信息可在入侵指标部分查看。
911d9f05e1c57a745cb0c669f3e1b67ac4a08601
cd62a9ab320b4f6be49be11c9b1d2d5519cc4860
2d1537e92878a3a14b5b3f55b32c91b099513ae0
f08f036a0c79a53f6b0c9ad84fb6eac1ac79c168
df39ab90c89aa77a92295721688b18e7f1fdb38d
ea6d12e4a465a7a44cbad12659ade8a4999d64d1
1cc97e490b5f8a582b6b03bdba58cb5f1a389e78
1a167b65be75fd0651bbda072c856628973a3c1e
985fd1f74eb617b1fea17095f9e991dcaceec170
744e5181e76c68b8b23a19b939942de9e1db1daa
062a869caac496d0182decfadc57a23057caa4ab
b84604cad2f3a80fb50415aa069cce7af381e249
3278324744e14ddf4f4312d375f82b31026f51b5
5639fa1fa389ed32f8a8d1ebada8bbbe03ac5171
joinupvts[.]org
resolveissue[.]org
crowdon[.]info
st0746[.]net
原文始发于微信公众号(Khan安全团队):朝鲜 APT37 的新间谍软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论