كشف باحثون في Lookout عن برنامج تجسس جديد يُعرف باسم “KoSpy” مرتبط بمجموعة تهديدات إلكترونية كورية شمالية يُعتقد أنها APT37، المعروفة أيضًا باسم “ScarCruft”. تمكنت هذه المجموعة من اختراق متجر Google Play ومتجر التطبيقات APKPure عبر خمسة تطبيقات خبيثة على الأقل.
كيف يعمل برنامج التجسس KoSpy؟
بدأت الحملة منذ مارس 2022، واستهدفت المستخدمين الناطقين بـالكورية والإنجليزية عبر تطبيقات تتنكر في شكل مديري ملفات، أدوات أمنية، وبرامج تحديث النظام. التطبيقات التي تم تحديدها تشمل:
- 휴대폰 관리자 (Phone Manager)
- File Manager (com.file.exploer)
- 스마트 관리자 (Smart Manager)
- 카카오 보안 (Kakao Security)
- Software Update Utility
رغم أن بعض التطبيقات تقدم وظائف حقيقية جزئيًا، إلا أنها تقوم بتحميل KoSpy في الخلفية، بينما يكتفي تطبيق Kakao Security بعرض نافذة مزيفة تطلب أذونات حساسة.
وظائف KoSpy: ماذا يفعل على جهازك؟
بمجرد التثبيت، يقوم KoSpy بتنفيذ عدة مهام تجسسية، منها:
- التنصت على الرسائل النصية وسجلات المكالمات
- تتبع الموقع الجغرافي للمستخدم في الوقت الفعلي
- الوصول إلى الملفات وتصديرها من وحدة التخزين الداخلية
- استخدام الميكروفون لتسجيل الصوت
- تشغيل الكاميرا لالتقاط الصور والفيديوهات
- التقاط لقطات شاشة لنشاط المستخدم
- تسجيل ضغطات المفاتيح عبر خدمات إمكانية الوصول
إجراءات الأمان: كيف تحمي نفسك؟
- حذف التطبيقات المصابة يدويًا إن تم تحميلها مسبقًا.
- إجراء فحص شامل باستخدام أدوات الأمان للتأكد من عدم وجود بقايا للتطبيقات الضارة.
- إجراء إعادة ضبط المصنع في الحالات الحرجة لضمان إزالة أي آثار للتجسس.
- تفعيل “Google Play Protect”، حيث أكدت جوجل أنه قادر على منع النسخ المعروفة من البرامج الضارة حتى عند تثبيت التطبيقات من خارج المتجر الرسمي.
أكدت جوجل أنها قامت بحذف جميع التطبيقات المصابة من متجر Google Play، بالإضافة إلى تعطيل المشاريع المرتبطة بها على منصة Firebase.
