جاسوس‌افزار اندرویدی کره شمالی در گوگل‌پلی

جاسوس‌افزار اندرویدی جدید به نام KoSpy به عوامل تهدید کره شمالی مرتبط است که از طریق حداقل پنج اپلیکیشن مخرب به Google Play و فروشگاه اپلیکیشن‌های شخص ثالث APKPure نفوذ کرد.

بر اساس گزارش محققان Lookout، جاسوس‌افزار به عوامل تهدید کره شمالی APT37 (که با نام ScarCruft نیز شناخته می‌شود) منتسب شده است. کمپین از مارس 2022 فعال بود و نفوذگران به‌ طور مستمر در حال توسعه بدافزار بر اساس نمونه‌های جدید هستند. کمپین جاسوس‌افزار عمدتاً کاربران کره‌ای و انگلیسی‌زبان را هدف قرار می‌دهد و خود را در پوشش ابزارهای مدیریت فایل، ابزارهای امنیتی و نرم‌افزارهای به‌ روزرسانی پنهان می‌کند.  KoSpy می‌تواند داده‌های گسترده‌ای مانند پیام‌های SMS، گزارش تماس‌ها، مکان، فایل‌ها، صدا و اسکرین‌شات‌ها را از طریق افزونه‌های بارگذاری شده به صورت پویا جمع‌آوری کند.

ابزارهای مخرب با استفاده از نام‌های File Manager، Phone Manager، Smart Manager، Software Update Utility و Kakao Security به عنوان اپلیکیشن در فروشگاه رسمی Google Play ظاهر می‌شوند تا کاربران ناآگاه را فریب دهند تا دستگاه‌های خود را آلوده کنند. این کمپین بر اساس آدرس‌های IP که قبلاً به عملیات کره شمالی مرتبط بودند، دامنه‌هایی که توزیع بدافزار Konni را تسهیل می‌کردند و زیرساخت‌هایی که با دیگر گروه‌ تهدید کره شمالی به نام APT43 همپوشانی دارند، به APT37 نسبت داده شد.

https://www.bleepingcomputer.com/news/security/new-north-korean-android-spyware-slips-onto-google-play/
https://thehackernews.com/2025/03/north-koreas-scarcruft-deploys-kospy.html