💡 Ne manquez plus l’essentiel
Les derniers articles
Toutes les catégories
un malware dans l'appstore Android

Le spyware KoSpy infiltré sur le Google Play Store par des hackers nord-coréens

Offrez un café pour soutenir cette veille indépendante.

☕ Je soutiens DCOD
KoSpy, un malware développé par le groupe nord-coréen APT37, espionne les utilisateurs via des applications apparemment inoffensives sur Google Play Store.

Imaginez télécharger une application utilitaire depuis le Google Play Store, seulement pour découvrir plus tard qu’elle espionne vos moindres faits et gestes. C’est précisément ce qui est arrivé avec KoSpy, un logiciel espion sophistiqué attribué aux groupex de hackers nord-coréens ScarCruft (aussi appelés APT37 et APT43).

Des applications utilitaires en apparence inoffensives

Depuis mars 2022, KoSpy s’est dissimulé sous des applications telles que « File Manager », « Software Update Utility » et « Kakao Security ». Ces applications, disponibles sur le Google Play Store et des plateformes tierces comme APKPure, ciblaient principalement des utilisateurs anglophones et coréanophones. Derrière cette campagne se cache en particulier le groupe APT37, un collectif de hackers nord-coréens actif depuis au moins 2012.

APT37, également connu sous les noms de ScarCruft ou Reaper, est spécialisé dans l’espionnage ciblé, visant notamment des organisations gouvernementales, militaires et médiatiques en Corée du Sud. Le groupe est réputé pour exploiter des vulnérabilités zero-day et utiliser des infrastructures de commandement et contrôle déjà associées à d’autres opérations cybernétiques nord-coréennes. Selon les experts de Lookout, APT37 a conçu KoSpy avec des capacités avancées de furtivité, notamment la vérification de l’environnement d’exécution et le chiffrement des communications avec ses serveurs de contrôle.

Un autre acteur clé dans cette opération est APT43, un autre groupe de hackers nord-coréens souvent associé à des campagnes de cyberespionnage et de financement d’activités illicites pour le régime de Pyongyang. APT43 partage des infrastructures et des méthodes avec APT37, rendant leur distinction parfois difficile. Le groupe est connu pour ses attaques contre des cibles stratégiques, notamment dans les secteurs de la finance, de la recherche et des affaires gouvernementales. KoSpy aurait exploité des domaines et des serveurs déjà liés à APT43, renforçant l’idée d’une collaboration ou d’une convergence des opérations entre ces deux entités.

Le malware KoSpy dans un mobile

Fonctionnalités d’espionnage étendues

Une fois installé, KoSpy pouvait :

  • Accéder aux messages SMS et aux journaux d’appels.
  • Suivre la localisation de l’appareil.
  • Explorer les fichiers stockés sur le téléphone.
  • Enregistrer des conversations audio et prendre des photos à l’insu de l’utilisateur.
  • Capturer des captures d’écran et enregistrer les frappes au clavier.

Ces capacités permettaient aux attaquants de surveiller en temps réel les activités des victimes.

Techniques d’évasion avancées

KoSpy utilisait Firebase Firestore, une base de données cloud de Google, pour récupérer des configurations initiales, rendant sa détection plus complexe. Cette méthode permettait aux attaquants de modifier rapidement les paramètres du malware sans éveiller les soupçons.

Réaction de Google et implications pour la sécurité mobile

Après la découverte de KoSpy, Google a supprimé les applications incriminées du Play Store et désactivé les projets Firebase associés. Cependant, cette infiltration souligne les défis constants en matière de sécurité mobile, même sur des plateformes réputées sûres.

Recommandations pour les utilisateurs et les professionnels de la sécurité

  • Vérifier les autorisations des applications : Une application de gestion de fichiers demandant l’accès au microphone ou à la caméra doit susciter la méfiance.
  • Utiliser des solutions de sécurité mobiles fiables : Elles offrent une couche de protection supplémentaire contre les menaces émergentes.
  • Sensibiliser les utilisateurs : Informer sur les risques liés au téléchargement d’applications, même depuis des sources officielles, est essentiel.

La découverte de KoSpy rappelle que la vigilance est de mise dans l’écosystème mobile. Les professionnels de la cybersécurité doivent constamment adapter leurs stratégies pour contrer des menaces de plus en plus sophistiquées.

Pour en savoir plus

Des pirates informatiques du gouvernement nord-coréen ont introduit un logiciel espion dans l’App Store Android

Un groupe de pirates informatiques ayant des liens avec le régime nord-coréen a téléchargé un logiciel espion Android sur la boutique d’applications Google Play et a réussi à inciter certaines personnes à le télécharger, selon la société de cybersécurité Lookout.

Lire la suite sur TechCrunch
Des pirates informatiques du gouvernement nord-coréen ont introduit un logiciel espion dans l'App Store Android

ScarCruft, un groupe APT lié à la Corée du Nord, a été repéré utilisant le nouveau logiciel espion Android KoSpy.

ScarCruft, un groupe APT lié à la Corée du Nord, a utilisé un nouveau logiciel espion Android baptisé KoSpy pour cibler les utilisateurs coréens et anglophones. ScarCruft (alias APT37, Reaper et Group123), un acteur malveillant lié à la Corée du Nord, est à l’origine d’un outil de surveillance Android jusqu’alors inconnu, nommé KoSpy, qui a été…

Lire la suite sur Security Affairs
ScarCruft, un groupe APT lié à la Corée du Nord, a été repéré utilisant le nouveau logiciel espion Android KoSpy.

(Re)découvrez également:

Le RCS chiffré : vers une messagerie sécurisée entre iPhone et Android

Le RCS intégrera bientôt enfin le chiffrement de bout en bout des messages entre utilisateurs d’Android et d’iPhone.

Lire la suite sur dcod.ch
Le RCS chiffré : vers une messagerie sécurisée entre iPhone et Android

💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.

💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.

Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕

Oui pour un café merci !
Etiquettes

Le créateur et l'éditeur de DCOD.CH - Restons en contact !

📚 Pour prolonger la réflexion ou approfondir certains points abordés, voici quelques lectures recommandées par DCOD :

Des idées de lecture cybersécurité

Page frontale du livre Cybersécurité: Le guide du débutant

Cybersécurité: Le guide du débutant

Si vous voulez un guide étape par étape sur la cybersécurité, plus un cours gratuit complet sur la sécurité en ligne, plus un accès à une formidable communauté de hackers, ce livre est pour vous !

📘 Voir sur Amazon
Page frontale du livre Cybersécurité : tests d’intrusion des systèmes d’informations web

Cybersécurité : tests d’intrusion des systèmes d’informations web: Le guide des vulnérabilités web

Amplifiez vos compétences en cybersécurité avec ce guide exhaustif sur le pentesting et le bug bounty ! Conçu pour les pentesters, les bug hunters, les développeurs, et en fait toute personne curieuse de plonger dans le monde fascinant de la cybersécurité.

📘 Voir sur Amazon
Page frontale du livre 100 Faits à Savoir sur la Cybersécurité

100 Faits à Savoir sur la Cybersécurité

🤔 Vous êtes-vous déjà demandé comment les hackers parviennent à pénétrer des systèmes apparemment sécurisés ? Pourquoi entendons-nous tant parler des botnets et que peuvent-ils vraiment faire ? Et qu'en est-il de ce fameux quantum computing qui menace de bouleverser la cryptographie ?

📘 Voir sur Amazon

🛒 Les liens ci-dessus sont affiliés : en commandant via ces liens, vous soutenez la veille DCOD sans frais supplémentaires 🙏