Les hackers de Corée du Nord sont particulièrement actifs ces derniers mois. Un spyware a été découvert sur Google Play : KoSpy. Le but est d’infiltrer le store Android. Jusqu’à présent, 5 apps malveillantes utilisant ce spyware ont été détectées selon Lookout.
KoSpy serait développé par le groupe APT37. Plus inquiétant, cette attaque existerait depuis le printemps 2022.
KoSpy injecte des fichiers de configuration chiffrés pour échapper aux scanneurs. Ensuite, il peut se connecter à un serveur C2 pour vérifier qu’il est bel et bien actif physiquement sur le device contaminé. De là, il peut agir.
Il récupère beaucoup de données : SMS, liste des appels, localisation, extraction de données locales, utiliser des micros et caméras, capture de l’écran, etc.
Présentation complète par Lookout.
