朝鲜黑客组织 ScarCruft(APT37)利用新型安卓间谍软件 KoSpy 进行监控

admin 2025年3月24日13:55:34评论40 views字数 1443阅读4分48秒阅读模式

大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。

朝鲜黑客组织 ScarCruft(APT37)利用新型安卓间谍软件 KoSpy 进行监控

近日,安全研究人员发现朝鲜黑客组织 ScarCruft(APT37)正在使用一款全新的 Android 监控软件 KoSpy,主要针对韩语和英语用户,尤其是涉及政府、国防、军事和媒体领域的目标。  

KoSpy——隐蔽渗透安卓设备的间谍软件  

研究人员发现,KoSpy 伪装成五款不同的应用程序,诱骗用户下载安装:  

 휴대폰 관리자(Phone Manager)  

 File Manager  

 스마트 관리자(Smart Manager)  

 카카오 보안(Kakao Security)  

 Software Update Utility  

其中,Kakao Security 伪装最为巧妙,利用假权限请求欺骗用户授权访问敏感数据。  

一旦用户安装并授予权限,KoSpy 将开始秘密收集以下信息:  

短信(SMS)  

通话记录  

设备定位信息  

文件及照片  

录音和音频文件  

屏幕截图  

KoSpy 如何绕过检测?  

KoSpy 采用了一系列规避检测技术,确保其在目标设备上悄无声息地运行:  

1. 环境检测:在激活前,KoSpy 会检测自己是否运行在虚拟环境(例如沙箱分析工具中),如果是,则自动退出。  

2. 时间触发机制:KoSpy 只有在特定时间之后才会激活,以躲避自动化检测。  

3. 远程指令控制:KoSpy 从 Firebase Firestore 服务器获取加密配置信息,可根据攻击者需求修改 C2 服务器地址,增加隐蔽性。  

4. 加密通信:KoSpy 采用 AES 加密 传输数据,确保窃取信息难以被拦截和分析。  

KoSpy 的攻击基础设施与 APT37、APT43 关联  

研究人员在分析 KoSpy 的指挥与控制(C2)服务器时,发现了一些与朝鲜黑客组织 APT37 和 APT43 相关的恶意基础设施:  

 st0746[.]net:该 C2 域名指向一个韩国 IP 地址,此前已被用于恶意软件 Konni(APT37 使用)  

 naverfiles[.]com、mailcorp[.]center:与 APT37 相关的恶意域名  

 nidlogon[.]com:属于 APT43 基础设施的一部分  

朝鲜黑客组织之间通常共享攻击基础设施和战术技术,因此 KoSpy 可能是其更大规模网络间谍行动的一部分。  

Google 已采取行动封堵 KoSpy  

安全公司 Lookout 发现 KoSpy 后,Google 已删除 Google Play 上的恶意应用,并停用相关 Firebase 项目,阻止攻击者利用该基础设施继续传播 KoSpy。  

总结:KoSpy 是一款高度隐蔽的安卓间谍软件,专门针对韩国和英语用户。其加密通信、环境检测、远程配置控制等特性,使其成为当前最先进的安卓攻击工具之一。虽然 Google 已采取措施封堵,但黑客组织的攻击手段仍在不断进化,用户需提高警惕,防止设备被入侵!  

加入知识星球,可继续阅读

一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。

朝鲜黑客组织 ScarCruft(APT37)利用新型安卓间谍软件 KoSpy 进行监控朝鲜黑客组织 ScarCruft(APT37)利用新型安卓间谍软件 KoSpy 进行监控

二、"DeepSeek:APT攻击模拟的新利器",为你带来APT攻击的新思路。

朝鲜黑客组织 ScarCruft(APT37)利用新型安卓间谍软件 KoSpy 进行监控

喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。

原文始发于微信公众号(紫队安全研究):朝鲜黑客组织 ScarCruft(APT37)利用新型安卓间谍软件 KoSpy 进行监控

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月24日13:55:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   朝鲜黑客组织 ScarCruft(APT37)利用新型安卓间谍软件 KoSpy 进行监控http://cn-sec.com/archives/3878290.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息