Google Play ze szpiegowskimi aplikacjami z Korei Północnej. To nowy rozdział cyberwojny

Badacze z firmy Lookout odkryli niepokojące dowody na obecność aplikacji szpiegowskich powiązanych z Koreą Północną w oficjalnym sklepie Google Play.

Oprogramowanie nazwane KoSpy, ukryte w pozornie niewinnych aplikacjach użytkowych, miało na celu zbieranie wrażliwych danych od użytkowników Androida i przesyłanie ich na serwery kontrolowane przez północnokoreańskie służby wywiadowcze.

Wywiad Korei Północnej grasuje w sklepie Google Play

To kolejny przykład, jak zaawansowane grupy hakerskie wykorzystują popularne platformy do prowadzenia operacji szpiegowskich na globalną skalę. Niepokojące jest przede wszystkim to, że złośliwy kod przedostał się przez algorytmiczne sito weryfikacyjne oryginalnego sklepu Google Play.

Aplikacje, które przeszły weryfikację bezpieczeństwa Google, podszywały się pod narzędzia do zarządzania plikami, aktualizacji systemu czy ochrony urządzeń. Jednak faktyczna funkcjonalność rzeczonych apek daleka była od oczekiwań instalujących je użytkowników. W rzeczywistości KoSpy potrafiło przechwytywać wiadomości SMS, rejestry połączeń, lokalizację, pliki, a nawet nagrywać dźwięk z otoczenia i robić zrzuty ekranu.

Co ciekawe, malware kierowane było głównie do użytkowników anglo- i koreańskojęzycznych, co sugeruje precyzyjne targetowanie osób związanych z Koreą Południową lub środowiskami anglojęzycznymi. Dla nas to o tyle dobra wiadomość, że mało prawdopodobne, by to zagrożenie stanowiło problem w naszym kraju.

Eksperci z Lookout przypisują autorstwo KoSpy grupom hakerskim APT37 (ScarCruft) oraz APT43 (Kimsuki), które od lat są łączone z operacjami wspieranymi i inicjowanymi przez rząd Korei Północnej. Infrastruktura wykorzystywana przez te aplikacje, w tym adresy IP i domeny, pokrywa się z wcześniej znanymi kampaniami szpiegowskimi tego kraju.

Google reaguje na szpiegowskie KoSpy

KoSpy korzystało z platformy Firebase – usługi Google – do pobierania ustawień konfiguracyjnych, co jeszcze bardziej komplikuje kwestię bezpieczeństwa popularnych ekosystemów technologicznych.

Google zareagowało na incydent dość szybko, usuwając zidentyfikowane aplikacje ze sklepu Play oraz dezaktywując powiązane projekty na Firebase. Rzecznik firmy podkreślił, że najnowsza próbka KoSpy została zablokowana, zanim zdążyła zostać pobrana przez użytkowników.

Google Play Protect ma zaś obecnie chronić urządzenia z Androidem przed znanymi wariantami tego zagrożenia – nawet jeśli aplikacje pochodzą spoza oficjalnego sklepu. Nie ujawniono jednak, ile osób mogło paść ofiarą wcześniejszych wersji szpiegowskiego oprogramowania.

Ten incydent rzuca światło na trudność w zapewnieniu pełnego bezpieczeństwa w ekosystemie aplikacji mobilnych. Eksperci z Lookout zwracają uwagę, że niski odsetek pobrań wskazuje na wysoce ukierunkowany charakter kampanii, co jest typowe dla operacji wywiadowczych. Choć konkretne cele pozostają nieznane, spekuluje się, że mogły obejmować zarówno zbieranie danych wywiadowczych, jak i wspieranie finansowych machinacji Korei Północnej, takich jak kradzieże kryptowalut.

Odkrycie KoSpy to kolejny dowód na rosnącą aktywność hakerską Pjongjangu w cyberprzestrzeni. W ostatnich latach grupy takie jak Lazarus czy APT37 były odpowiedzialne za głośne ataki, w tym włamanie do Sony Pictures w 2014 roku czy kradzież 1,4 miliarda dolarów w Ethereum z giełdy Bybit w lutym 2025 roku.

Źródło: Lookout. Zdjęcie otwierające: BeeBright / Shutterstock

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Artykuł Google Play ze szpiegowskimi aplikacjami z Korei Północnej. To nowy rozdział cyberwojny pochodzi z serwisu ANDROID.COM.PL - społeczność entuzjastów technologii.