Navigation
Les derniers articles
Suivez en direct

Le spyware KoSpy infiltré sur le Google Play Store par des hackers nord-coréens

un malware dans l'appstore Android
KoSpy, un malware développé par le groupe nord-coréen APT37, espionne les utilisateurs via des applications apparemment inoffensives sur Google Play Store.

Imaginez télécharger une application utilitaire depuis le Google Play Store, seulement pour découvrir plus tard qu’elle espionne vos moindres faits et gestes. C’est précisément ce qui est arrivé avec KoSpy, un logiciel espion sophistiqué attribué aux groupex de hackers nord-coréens ScarCruft (aussi appelés APT37 et APT43).

Des applications utilitaires en apparence inoffensives

Depuis mars 2022, KoSpy s’est dissimulé sous des applications telles que « File Manager », « Software Update Utility » et « Kakao Security ». Ces applications, disponibles sur le Google Play Store et des plateformes tierces comme APKPure, ciblaient principalement des utilisateurs anglophones et coréanophones. Derrière cette campagne se cache en particulier le groupe APT37, un collectif de hackers nord-coréens actif depuis au moins 2012.

APT37, également connu sous les noms de ScarCruft ou Reaper, est spécialisé dans l’espionnage ciblé, visant notamment des organisations gouvernementales, militaires et médiatiques en Corée du Sud. Le groupe est réputé pour exploiter des vulnérabilités zero-day et utiliser des infrastructures de commandement et contrôle déjà associées à d’autres opérations cybernétiques nord-coréennes. Selon les experts de Lookout, APT37 a conçu KoSpy avec des capacités avancées de furtivité, notamment la vérification de l’environnement d’exécution et le chiffrement des communications avec ses serveurs de contrôle.

L'essentiel Cybersécurité, IA & Tech

Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.

Ou suivez le flux temps réel
Telegram Discord

Un autre acteur clé dans cette opération est APT43, un autre groupe de hackers nord-coréens souvent associé à des campagnes de cyberespionnage et de financement d’activités illicites pour le régime de Pyongyang. APT43 partage des infrastructures et des méthodes avec APT37, rendant leur distinction parfois difficile. Le groupe est connu pour ses attaques contre des cibles stratégiques, notamment dans les secteurs de la finance, de la recherche et des affaires gouvernementales. KoSpy aurait exploité des domaines et des serveurs déjà liés à APT43, renforçant l’idée d’une collaboration ou d’une convergence des opérations entre ces deux entités.

Le malware KoSpy dans un mobile

Fonctionnalités d’espionnage étendues

Une fois installé, KoSpy pouvait :

  • Accéder aux messages SMS et aux journaux d’appels.
  • Suivre la localisation de l’appareil.
  • Explorer les fichiers stockés sur le téléphone.
  • Enregistrer des conversations audio et prendre des photos à l’insu de l’utilisateur.
  • Capturer des captures d’écran et enregistrer les frappes au clavier.

Ces capacités permettaient aux attaquants de surveiller en temps réel les activités des victimes.

Techniques d’évasion avancées

KoSpy utilisait Firebase Firestore, une base de données cloud de Google, pour récupérer des configurations initiales, rendant sa détection plus complexe. Cette méthode permettait aux attaquants de modifier rapidement les paramètres du malware sans éveiller les soupçons.

Réaction de Google et implications pour la sécurité mobile

Après la découverte de KoSpy, Google a supprimé les applications incriminées du Play Store et désactivé les projets Firebase associés. Cependant, cette infiltration souligne les défis constants en matière de sécurité mobile, même sur des plateformes réputées sûres.

Recommandations pour les utilisateurs et les professionnels de la sécurité

  • Vérifier les autorisations des applications : Une application de gestion de fichiers demandant l’accès au microphone ou à la caméra doit susciter la méfiance.
  • Utiliser des solutions de sécurité mobiles fiables : Elles offrent une couche de protection supplémentaire contre les menaces émergentes.
  • Sensibiliser les utilisateurs : Informer sur les risques liés au téléchargement d’applications, même depuis des sources officielles, est essentiel.

La découverte de KoSpy rappelle que la vigilance est de mise dans l’écosystème mobile. Les professionnels de la cybersécurité doivent constamment adapter leurs stratégies pour contrer des menaces de plus en plus sophistiquées.

Pour en savoir plus

Des pirates informatiques du gouvernement nord-coréen ont introduit un logiciel espion dans l’App Store Android

Un groupe de pirates informatiques ayant des liens avec le régime nord-coréen a téléchargé un logiciel espion Android sur la boutique d’applications Google Play et a réussi à inciter certaines personnes à le télécharger, selon la société de cybersécurité Lookout.

Lire la suite sur TechCrunch
Des pirates informatiques du gouvernement nord-coréen ont introduit un logiciel espion dans l'App Store Android

ScarCruft, un groupe APT lié à la Corée du Nord, a été repéré utilisant le nouveau logiciel espion Android KoSpy.

ScarCruft, un groupe APT lié à la Corée du Nord, a utilisé un nouveau logiciel espion Android baptisé KoSpy pour cibler les utilisateurs coréens et anglophones. ScarCruft (alias APT37, Reaper et Group123), un acteur malveillant lié à la Corée du Nord, est à l’origine d’un outil de surveillance Android jusqu’alors inconnu, nommé KoSpy, qui a été…

Lire la suite sur Security Affairs
ScarCruft, un groupe APT lié à la Corée du Nord, a été repéré utilisant le nouveau logiciel espion Android KoSpy.

(Re)découvrez également:

Le RCS chiffré : vers une messagerie sécurisée entre iPhone et Android

Le RCS intégrera bientôt enfin le chiffrement de bout en bout des messages entre utilisateurs d’Android et d’iPhone.

Lire la suite sur dcod.ch
Le RCS chiffré : vers une messagerie sécurisée entre iPhone et Android

Serveurs, API, outils de veille.
DCOD est un projet indépendant sans revenu. L'infra a un coût. Participez aux frais.

☕ Contribuer aux frais
Etiquettes

Fondateur et éditeur de DCOD - Restons en contact !

A lire également

Des idées de lecture recommandées par DCOD

Page frontale du livre Les Secrets du Darknet

Les Secrets du Darknet

Écrit par DarkExplorer, un ancien hacker repenti, ce guide complet vous offre une plongée fascinante dans les coulisses du Darknet, ainsi que les outils et les techniques nécessaires pour naviguer en toute sécurité dans cet univers souvent dangereux et mystérieux.

📘 Voir sur Amazon
Ethical Hacking

Sécurité informatique - Ethical Hacking

Ce livre a pour objectif d'initier le lecteur aux techniques des attaquants pour lui apprendre comment se défendre. Cette nouvelle édition tient compte de l'actualité en matière de sécurité informatique et voit l'apparition de trois nouveaux chapitres qui traitent de la sécurité des mobiles, des voitures connectées et de l'étude des malwares.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏

💡

Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille.
Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.