Découverte de KoSpy : un espionnage Android sophistiqué lié à la Corée du Nord.

Rate this post

Des chercheurs en cybersécurité chez Lookout ont découvert KoSpy, un logiciel espion Android sophistiqué lié à la Corée du Nord qui a réussi à infiltrer le Google Play Store. Ce malware est attribué à ScarCruft (APT37), un groupe de piratage nord-coréen, et se fait passer pour des applications légitimes. Il cible les utilisateurs coréens et anglophones et peut voler des données sensibles tout en restant indétectable pendant des mois.

Sommaire masquer

1 Comment KoSpy infecte les appareils

2 Ce que KoSpy peut faire

3 Actualités similaires :

Comment KoSpy infecte les appareils

Les chercheurs expliquent que KoSpy se fait passer pour une application utilitaire légitime sur un téléphone. Lookout a trouvé au moins cinq variations du malware se faisant passer pour 휴대폰 관리자 (Phone Manager), File Manager, 스마트 관리자 (Smart Manager), 카카오 보안 (Kakao Security) et Software Update Utility.

Grâce à leurs noms qui semblent légitimes, ils peuvent tromper les utilisateurs pour les installer. Une fois installé, il attend l’activation. Contrairement aux malwares typiques, KoSpy ne commence pas immédiatement ses activités d’espionnage. Cela serait trop suspect. Au lieu de cela, les chercheurs ont découvert que le logiciel espion KoSpy se reposait sur des plateformes légitimes pour récupérer des adresses de Command and Control (C2) mises à jour.

Cela permet aux attaquants nord-coréens d’activer, de mettre à jour et de modifier à distance le logiciel espion via Google Play et Firebase Firestore, un service cloud de Google, sans nécessiter d’interaction de l’utilisateur, rendant la détection beaucoup plus difficile.

Ce que KoSpy peut faire

Une fois activé, KoSpy peut voler des messages SMS et des journaux d’appels. Il peut suivre la localisation GPS en temps réel, accéder et modifier des fichiers, enregistrer l’audio, prendre des photos, et capturer les frappes clavier et des captures d’écran.

Le logiciel espion chiffre les données volées en utilisant un chiffrement AES avant de les renvoyer aux serveurs C2, rendant l’interception plus difficile. De plus, les attaquants peuvent installer à distance de nouveaux plugins, étendant les capacités d’espionnage du malware sans réinfecter l’appareil.

KoSpy est dangereux car son système C2 est plus avancé que celui des malwares typiques. Au lieu de coder en dur l’adresse C2 dans le malware lui-même, comme le font généralement les autres malwares, il récupère la dernière adresse C2 à partir de Firebase Firestore. Il utilise Firebase comme relais et empêche les outils de sécurité de détecter immédiatement le trafic malveillant, surtout depuis que Google possède Firestore, ce qui rend les requêtes vers celui-ci semblent légitimes.

Les attaquants peuvent également éteindre ou réactiver le logiciel espion à distance et changer les adresses C2 si l’une est bloquée. Cela rend KoSpy plus difficile à perturber que les malwares traditionnels. Google a déjà supprimé ces applications malveillantes, mais cela soulève des préoccupations concernant la sécurité des magasins d’applications officiels. Comme toujours, essayez de télécharger des applications à partir de magasins d’applications fiables et vérifiés lorsque possible. Assurez-vous également de consulter les avis et de vous assurer que votre téléphone dispose des dernières mises à jour de sécurité installées.

Source : www.androidheadlines.com

Julien Castex
Julien est un journaliste tech polyvalent avec une expérience couvrant divers aspects de la high tech, en passant par les smartphones et l'Intelligence Artificielle. Il écrit sur les dernières tendances technologiques, les startups et les projets innovants ainsi que les impacts de la technologie sur la société.
Voir toutes les publications