Un groupe de pirates informatiques liés au régime nord-coréen a téléchargé un logiciel espion Android sur la boutique d'applications Google Play et a incité certaines personnes à le télécharger, selon la société de cybersécurité Lookout. Dans un rapport publié mercredi, Lookout a détaillé une campagne d'espionnage impliquant plusieurs échantillons de logiciels espions Android différents, appelée KoSpy, et a « un degré élevé de confiance » dans le fait que ces logiciels espions sont l'œuvre du gouvernement nord-coréen.
Au moins une application de logiciel espion est apparue sur Google Play et a été téléchargée plus de 10 fois, selon un instantané mis en cache de la page de l'application dans la boutique d'applications officielle d'Android. Lookout a inclus une capture d'écran de la page dans son rapport.
Les pirates informatiques nord-coréens ont fait la une des journaux ces dernières années pour leurs braquages audacieux de crypto-monnaie, comme le récent vol d'environ 1,4 milliard de dollars en Ethereum sur l'échange de crypto-monnaie Bybit. Cependant, dans cette nouvelle campagne de logiciels espions, tout indique qu'il s'agit d'une opération de surveillance basée sur les capacités des applications de logiciels espions identifiées par Lookout.
Les cibles de la campagne de logiciels espions nord-coréens ne sont pas claires, mais Christoph Hebeisen, directeur de la recherche sur le renseignement de sécurité chez Lookout, a déclaré à TechCrunch que, comme il n'y avait qu'un petit nombre de téléchargements, l'application de logiciels espions était probablement ciblée sur un groupe spécifique de personnes.
Selon Lookout, KoSpy collecte « une grande quantité d'informations sensibles », notamment des messages texte, des journaux d'appels, des données de localisation de l'appareil, des fichiers et des dossiers sur l'appareil, les frappes saisies par l'utilisateur, les détails du réseau Wi-Fi et une liste des applications installées.
KoSpy peut également enregistrer de l'audio, prendre des photos avec l'appareil photo de votre téléphone et prendre des captures d'écran pendant son utilisation.
Lookout a également découvert que KoSpy s'appuie sur Firestore, une base de données cloud construite sur Google Cloud Infrastructure, pour récupérer les « configurations initiales ».
Le porte-parole de Google, Ed Fernandez, a déclaré que mLookout avait partagé son rapport avec la société et que "toutes les applications confirmées ont été supprimées de Play et le projet Firebase a été désactivé", y compris l'échantillon KoSpy sur Google Play. Google Play protège automatiquement les appareils Android des utilisateurs contre les versions connues des logiciels malveillants. "
Google n'a pas commenté une série de questions spécifiques sur le rapport, notamment si Google est d'accord avec l'attribution au régime nord-coréen et d'autres détails sur le rapport Lookout.
Le rapport indique également que Lookout a trouvé des applications de logiciels espions dans la boutique d'applications tierce APKPure. Un porte-parole d'APKPure a déclaré que la société n'avait reçu « aucun e-mail » de Lookout.
Hebeisen de Lookout et Alemdar Islamoglu, chercheur principal en renseignement de sécurité, ont déclaré que même si Lookout ne dispose d'aucune information sur les personnes spécifiquement ciblées - piratées - la société est convaincue qu'il s'agissait d'une campagne très ciblée, les cibles étant probablement des personnes parlant anglais ou coréen en Corée du Sud.
Le rapport indique que Lookout a basé son évaluation sur les noms d'applications trouvés, dont certains étaient en coréen, et que certaines applications avaient des titres en coréen et des interfaces utilisateur prenant en charge les deux langues.
Lookout a également découvert que les noms de domaine et les adresses IP utilisés par ces applications de logiciels espions avaient déjà été confirmés comme étant présents dans les logiciels malveillants et dans l'infrastructure de commande et de contrôle utilisée par les groupes de piratage du gouvernement nord-coréen APT37 et APT43.
"Ce qui est unique chez les acteurs nord-coréens de la menace, c'est qu'ils semblent souvent réussir à introduire des applications dans les magasins d'applications officiels", a déclaré Hebeisen.