朝鲜APT组织ScarCruft使用新型Android间谍软件KoSpy瞄准韩语和英语用户
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
朝鲜APT组织ScarCruft近期利用名为KoSpy的Android间谍软件,主要针对韩语和英语用户。该软件伪装成实用应用,通过Google Play分发,收集短信、通话记录和位置信息。KoSpy与APT37和APT43有关联,显示出针对韩国用户的网络间谍活动。
🎯
关键要点
- 朝鲜APT组织ScarCruft使用名为KoSpy的Android间谍软件,主要针对韩语和英语用户。
- KoSpy伪装成实用应用,通过Google Play分发,收集短信、通话记录和位置信息。
- 该组织自2012年以来活跃,曾利用Adobe Flash Player的零日漏洞传播恶意软件。
- KoSpy通过伪装成不同的应用程序感染设备,并利用Firebase Firestore接收配置数据。
- 间谍软件在激活前检查运行环境,避免被分析和检测。
- KoSpy与APT37和APT43有联系,显示出针对韩国用户的网络间谍活动。
- 该间谍软件通过加密JSON与C2服务器通信,生成唯一ID并加密数据传输。
- 共享基础设施表明KoSpy可能是更大规模网络间谍行动的一部分。
❓
延伸问答
KoSpy间谍软件的主要目标用户是谁?
KoSpy主要针对韩语和英语用户。
KoSpy是如何传播的?
KoSpy通过伪装成实用应用程序并在Google Play上分发来感染设备。
KoSpy收集哪些类型的信息?
KoSpy收集短信、通话记录、位置信息、文件、音频和屏幕截图。
KoSpy与哪些APT组织有关联?
KoSpy与APT37和APT43有联系。
KoSpy是如何避免被检测的?
KoSpy在激活前会检查运行环境,确保不在虚拟环境中,并确认当前日期是否超过硬编码的激活日期。
KoSpy的通信方式是什么?
KoSpy通过加密JSON与C2服务器通信,生成唯一ID并加密数据传输。
➡️
