朝鲜黑客组织 ScarCruft（APT37）利用新型安卓间谍软件 KoSpy 进行监控

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近日，安全研究人员发现朝鲜黑客组织 ScarCruft（APT37）正在使用一款全新的 Android 监控软件 KoSpy，主要针对韩语和英语用户，尤其是涉及政府、国防、军事和媒体领域的目标。  

KoSpy——隐蔽渗透安卓设备的间谍软件  

研究人员发现，KoSpy 伪装成五款不同的应用程序，诱骗用户下载安装：  

 휴대폰 관리자（Phone Manager）  

 File Manager  

 스마트 관리자（Smart Manager）  

 카카오 보안（Kakao Security）  

 Software Update Utility  

其中，Kakao Security 伪装最为巧妙，利用假权限请求欺骗用户授权访问敏感数据。  

一旦用户安装并授予权限，KoSpy 将开始秘密收集以下信息：  

短信（SMS）  

通话记录  

设备定位信息  

文件及照片  

录音和音频文件  

屏幕截图  

KoSpy 如何绕过检测？  

KoSpy 采用了一系列规避检测技术，确保其在目标设备上悄无声息地运行：  

1. 环境检测：在激活前，KoSpy 会检测自己是否运行在虚拟环境（例如沙箱分析工具中），如果是，则自动退出。  

2. 时间触发机制：KoSpy 只有在特定时间之后才会激活，以躲避自动化检测。  

3. 远程指令控制：KoSpy 从 Firebase Firestore 服务器获取加密配置信息，可根据攻击者需求修改 C2 服务器地址，增加隐蔽性。  

4. 加密通信：KoSpy 采用 AES 加密 传输数据，确保窃取信息难以被拦截和分析。  

KoSpy 的攻击基础设施与 APT37、APT43 关联  

研究人员在分析 KoSpy 的指挥与控制（C2）服务器时，发现了一些与朝鲜黑客组织 APT37 和 APT43 相关的恶意基础设施：  

 st0746[.]net：该 C2 域名指向一个韩国 IP 地址，此前已被用于恶意软件 Konni（APT37 使用）  

 naverfiles[.]com、mailcorp[.]center：与 APT37 相关的恶意域名  

 nidlogon[.]com：属于 APT43 基础设施的一部分  

朝鲜黑客组织之间通常共享攻击基础设施和战术技术，因此 KoSpy 可能是其更大规模网络间谍行动的一部分。  

Google 已采取行动封堵 KoSpy  

安全公司 Lookout 发现 KoSpy 后，Google 已删除 Google Play 上的恶意应用，并停用相关 Firebase 项目，阻止攻击者利用该基础设施继续传播 KoSpy。  

总结：KoSpy 是一款高度隐蔽的安卓间谍软件，专门针对韩国和英语用户。其加密通信、环境检测、远程配置控制等特性，使其成为当前最先进的安卓攻击工具之一。虽然 Google 已采取措施封堵，但黑客组织的攻击手段仍在不断进化，用户需提高警惕，防止设备被入侵！  

加入知识星球，可继续阅读

一、"全球高级持续威胁：网络世界的隐形战争"，总共26章，为你带来体系化认识APT，欢迎感兴趣的朋友入圈交流。

二、"DeepSeek：APT攻击模拟的新利器"，为你带来APT攻击的新思路。

喜欢文章的朋友动动发财手点赞、转发、赞赏，你的每一次认可，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：朝鲜黑客组织 ScarCruft（APT37）利用新型安卓间谍软件 KoSpy 进行监控