Noord-Koreaanse staatshackers plaatsen malware-apps in Google Play Store
Onderzoekers van het cybersecuritybedrijf Lookout kwamen de spyware-aanval recent op het spoor. Ze spreken van een spionageaanval waarbij hackers spyware met de naam ‘KoSpy’ probeerden te verspreiden via de Play Store. Lookout zegt er vrijwel zeker van te zijn dat KoSpy gelinkt is aan de Noord-Koreaanse overheid. De IP-adressen die bij de aanvallen werden gebruikt, zijn eerder in verband gebracht met de Noord-Koreaanse hackersgroepen APT37 en APT43.
De malware werd aangetroffen in verschillende apps in de Google Play Store voor Android. Het gaat bijvoorbeeld om een verkenner-app die op het eerste gezicht legitiem lijkt. Onder de motorkap bleek echter de KoSpy-spyware schuil te gaan, waarmee hackers “grote hoeveelheden gevoelige informatie” verzamelen.
Tot de verzamelde gegevens behoren sms-berichten, oproepinformatie, locatiegegevens van Android-toestellen, bestanden en mappen op het apparaat, toetsenbordinvoer, details over het wifi-netwerk en een lijst met geïnstalleerde apps. Daarnaast kan KoSpy audio opnemen, foto’s maken en screenshots vastleggen terwijl de telefoon in gebruik is.
Gerichte spionageaanvallen
Lookout heeft geen details over het aantal mogelijke slachtoffers. Wel stelt het bedrijf dat het waarschijnlijk om zeer gerichte aanvallen ging. De kwaadaardige apps zijn slechts enkele tientallen keren geïnstalleerd. Het lijkt er bovendien op dat de aanvallen specifiek gericht waren op Android-gebruikers in Zuid-Korea: sommige apps waren alleen beschikbaar in het Koreaans.
Google is door het beveiligingsbedrijf op de hoogte gesteld en zegt alle activiteiten van de hackers te hebben stopgezet. Daarnaast kan Play Protect de spyware voortaan detecteren, zelfs in apps die buiten de Play Store worden gedownload. Dit soort spyware-aanvallen onderstreept nogmaals het belang van voorzichtigheid bij het installeren van apps. Gebruikers wordt aangeraden niet zomaar apps te downloaden, maar eerst te controleren of een app veilig is, bijvoorbeeld door reviews te lezen of de legitimiteit van de ontwikkelaar te controleren.
