【安全资讯】北韩新型Android间谍软件现身Google Play

概要：

近期，北韩黑客组织APT37（又称ScarCruft）推出了一款名为'KoSpy'的新型Android间谍软件，该软件已渗透至Google Play和第三方应用商店APKPure，影响了大量用户。此事件凸显了网络安全的紧迫性，尤其是在移动应用领域。

主要内容：

KoSpy间谍软件通过伪装成文件管理器、安全工具和软件更新程序等应用，主要针对韩语和英语用户。Lookout的研究人员发现，至少有五款恶意应用程序涉及此间谍软件，包括休手机管理员、File Manager、智能管理员、Kakao Security和软件更新工具。这些应用虽然提供了一定的功能，但在后台加载KoSpy间谍软件，Kakao Security则仅显示假系统窗口以请求高风险权限。

一旦在设备上激活，KoSpy会从Firebase Firestore数据库中检索加密配置文件以避免被检测。随后，它连接到实际的指挥与控制（C2）服务器，并进行检查以确保不在模拟器中运行。KoSpy的功能包括拦截短信和通话记录、实时跟踪受害者GPS位置、读取和提取本地存储文件、使用设备麦克风录音、使用摄像头拍摄照片和视频、截屏以及记录按键。

尽管这些恶意应用已从Google Play和APKPure中删除，用户仍需手动卸载并使用安全工具扫描设备，以清除任何残留感染。在严重情况下，建议进行出厂重置。Google Play Protect能够阻止已知的恶意应用，因此在更新的Android设备上启用此功能可以帮助用户抵御KoSpy的威胁。