Le Play Store est le Google Apps Store, et celui qui est pré-installé par défaut dans la grande majorité des smartphones vendus en Espagne qui ne sont pas Apple; Sans surprise, c'est la référence absolue dans le secteur Android, le magasin le plus populaire dans le monde pour la distribution des jeux et des applications pour les mobiles et les tablettes. Mais maintenant, sa sécurité a été remise en question avec la publication d'un rapport détaillant une cyberattaque réussie de la Corée du Nord.
La publication de la société de sécurité Attention Il révèle l'existence d'un programme d'espionnage conçu pour Android, appelé Kospy, qui a été intégré à plusieurs applications apparemment bénignes, mais qui sont capables de Regardez tout ce que l'utilisateur fait avec son mobileet même enregistrez votre voix sans votre permission.
La bonne nouvelle est que Google a été averti par les chercheurs avant cette publication et que la société a déjà supprimé toutes les applications malveillantes découvertes; De plus, Google a annoncé que Google joue maintenant Protéger les utilisateurs des versions connues de ce malwaregrâce aux services de jeu qui sont pré-installés dans les téléphones mobiles. Cependant, il a également été confirmé que ces applications se sont déjà terminées dans les téléphones portables des victimes potentielles.
Kospy a été intégré à cinq applications différentes qui Ils sont fabriqués à travers des fonctions de base En tant que gestionnaire de fichiers, une application téléphonique ou une application de sécurité. Toutes ces applications sont extrêmement simples, et dans la plupart des cas, elles n'ont même pas leurs propres fonctions, mais les applications ouvertes sont déjà pré-installages dans le système; Par exemple, une “utilité de mise à jour logicielle” ouvre simplement l'écran de mise à jour du système Android.
Lorsque ces applications sont installées et initiées sur un mobile Android, Kospy est exécuté en arrière-plan et se connecte avec un serveur externe contrôlé par des pirates; Grâce à cette connexion, vous pouvez télécharger le code exécutable qui remplit plus de fonctions, en plus de la configuration de l'espionnage à effectuer, en fonction des objectifs des attaquants et des étapes nécessaires pour obtenir les informations. Kospy est en mesure d'obtenir une grande quantité de données, Le mobile et l'environnement de la personne ont espionné:
- Messages SMS
- Dossiers d'appel
- Emplacement de l'appareil
- Fichiers de stockage locaux et dossiers
- Enregistrement audio avec le microphone mobile et les photos avec les caméras.
- Capture et enregistrement d'écran
- Appuyez sur les enregistrements des touches.
- Données du réseau Wi -fi
- Liste des applications installées
Un détail intéressant est que, malgré le fait d'avoir utilisé le Play Store pour la distribution de son «logiciel espion», en réalité, la portée de ces applications malveillantes a été très limitée. En fait, le gestionnaire de fichiers le plus «appliqué a été» – Android », une application qui passe par un gestionnaire de fichiers et qui n'a été téléchargé que dix fois à partir du Play Store. Cependant, les chercheurs croient que c'est parce que l'objectif des attaquants n'était pas l'infection massive des appareils, mais Entrez dans les mobiles de personnes spécifiques.
En d'autres termes, les assaillants auraient atteint tromper vos objectifs pour télécharger ces applications malveillantes; Normalement, cela se fait en ajoutant à la victime à de fausses pages contrôlées par des pirates. Mais la tromperie des utilisateurs est de plus en plus difficile, surtout s'ils sont des gouvernements ou des entreprises et ont reçu une formation en cybersécurité; Même l'utilisateur moyen sait déjà (ou devrait savoir) qu'il ne devrait pas télécharger d'applications à partir de sites suspects.
C'est là que réside le génie de cette attaque, puisque Profitez de la bonne réputation de Google et de son jeu de jeux; Les utilisateurs sont déjà habitués à installer des applications à partir du magasin officiel, ils ne sont donc pas surpris d'avoir à installer une autre de cette source. Cependant, pour le moment, il n'est pas clair quels étaient les objectifs des pirates ou quelle est leur motivation. Les chercheurs de Lookout pensent qu'il s'agit d'une attaque dirigée contre des personnes spécifiques en Corée du Sud et qu'il s'agit d'une opération de groupes de pirates de gouvernement nord-coréens par les adresses IP des serveurs auxquels le «logiciel espion» est connecté.