大家好,我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标,否则可能就无法及时看到啦!因为公众号只对常读和星标的公众号才能大图推送。操作方法:先点击上面的“紫队安全研究”,然后点击右上角的【...】,然后点击【设为星标】即可。
近日,安全研究人员发现朝鲜黑客组织 ScarCruft(APT37)正在使用一款全新的 Android 监控软件 KoSpy,主要针对韩语和英语用户,尤其是涉及政府、国防、军事和媒体领域的目标。
KoSpy——隐蔽渗透安卓设备的间谍软件
研究人员发现,KoSpy 伪装成五款不同的应用程序,诱骗用户下载安装:
휴대폰 관리자(Phone Manager)
File Manager
스마트 관리자(Smart Manager)
카카오 보안(Kakao Security)
Software Update Utility
其中,Kakao Security 伪装最为巧妙,利用假权限请求欺骗用户授权访问敏感数据。
一旦用户安装并授予权限,KoSpy 将开始秘密收集以下信息:
短信(SMS)
通话记录
设备定位信息
文件及照片
录音和音频文件
屏幕截图
KoSpy 如何绕过检测?
KoSpy 采用了一系列规避检测技术,确保其在目标设备上悄无声息地运行:
1. 环境检测:在激活前,KoSpy 会检测自己是否运行在虚拟环境(例如沙箱分析工具中),如果是,则自动退出。
2. 时间触发机制:KoSpy 只有在特定时间之后才会激活,以躲避自动化检测。
3. 远程指令控制:KoSpy 从 Firebase Firestore 服务器获取加密配置信息,可根据攻击者需求修改 C2 服务器地址,增加隐蔽性。
4. 加密通信:KoSpy 采用 AES 加密 传输数据,确保窃取信息难以被拦截和分析。
KoSpy 的攻击基础设施与 APT37、APT43 关联
研究人员在分析 KoSpy 的指挥与控制(C2)服务器时,发现了一些与朝鲜黑客组织 APT37 和 APT43 相关的恶意基础设施:
st0746[.]net:该 C2 域名指向一个韩国 IP 地址,此前已被用于恶意软件 Konni(APT37 使用)
naverfiles[.]com、mailcorp[.]center:与 APT37 相关的恶意域名
nidlogon[.]com:属于 APT43 基础设施的一部分
朝鲜黑客组织之间通常共享攻击基础设施和战术技术,因此 KoSpy 可能是其更大规模网络间谍行动的一部分。
Google 已采取行动封堵 KoSpy
安全公司 Lookout 发现 KoSpy 后,Google 已删除 Google Play 上的恶意应用,并停用相关 Firebase 项目,阻止攻击者利用该基础设施继续传播 KoSpy。
总结:KoSpy 是一款高度隐蔽的安卓间谍软件,专门针对韩国和英语用户。其加密通信、环境检测、远程配置控制等特性,使其成为当前最先进的安卓攻击工具之一。虽然 Google 已采取措施封堵,但黑客组织的攻击手段仍在不断进化,用户需提高警惕,防止设备被入侵!
加入知识星球,可继续阅读
一、"全球高级持续威胁:网络世界的隐形战争",总共26章,为你带来体系化认识APT,欢迎感兴趣的朋友入圈交流。
二、"DeepSeek:APT攻击模拟的新利器",为你带来APT攻击的新思路。
喜欢文章的朋友动动发财手点赞、转发、赞赏,你的每一次认可,都是我继续前进的动力。
原文始发于微信公众号(紫队安全研究):朝鲜黑客组织 ScarCruft(APT37)利用新型安卓间谍软件 KoSpy 进行监控
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论