13. März 2025, 13:19 Uhr | Lesezeit: 3 Minuten
Eine nordkoreanische Hacker-Gruppe hat zahlreiche Smartphones mit einer extrem gefährlichen Schadsoftware infizieren können. Von lokalen Dateien bis eigenen Videoaufnahmen bleibt dabei nichts vor dem Spionage-Tool verborgen.
Die Forscher des Sicherheitsunternehmens „Lookout“ haben eine Reihe von Apps identifiziert, die mit der nordkoreanischen Spyware „KoSpy“ infiziert sind. Diese Schadsoftware kann ohne Probleme Smartphone-Nutzer ausspionieren und ist durch ihren ausgeklügelten Code nur schwer zu entdecken. TECHBOOK erläutert die Details.
Spyware aus Nordkorea
In seinem Bericht schreibt „Lookout“ die Entwicklung und Verbreitung von „KoSpy“ der bekannten nordkoreanischen Hackergruppe APT37 zu. Die Sicherheitsforscher gehen davon aus, dass APT37 dabei Infrastruktur von „Kimsuky“ verwendet – eine weitere Hackergruppe aus Nordkorea, die auch als APT43 bekannt ist. Die betroffenen Apps locken Nutzer als vermeintliche Dienstprogramme an und sind oft in begrenztem Umfang funktional.
Spyware greift heimlich Informationen ab
Spyware kann Tastatureingaben erfassen, den Browserverlauf protokollieren, Gespräche aufzeichnen, Screenshots erstellen und auf persönliche Informationen wie Benutzernamen, Kennwörter und Kreditkartendaten zugreifen. Sie arbeitet in der Regel unbemerkt im Hintergrund und ist daher für den Benutzer schwer zu entdecken.
Alle Informationen zu den verschiedenen Malware-Typen: So unterscheiden sich die Malware-Typen Trojaner, Spyware und Adware
„KoSpy“ in Dienstleistungs-Apps versteckt
So gibt der File Manager Zugriff auf den Smartphone-Speicher, die Software namens Update Utility öffnet die Software-Update-Funktion in den Android-Einstellungen. Kakao Security gibt vor, eine App des südkoreanischen Internet-Konglomerats Kakao Corporation zu sein. Die App ist nicht funktional und zeigt stattdessen nur eine Oberfläche mit Sicherheits- und Optimierungsoptionen für das Smartphone. Diese lassen sich jedoch nicht nutzen, da die App dazu übergeht, Zugriffsrechte auf Dinge wie SMS, Hintergrundaktivitäten und SD-Karte zu erhalten.
In erster Linie stehen englisch- und koreanischsprachige Nutzer im Fokus der „KoSpy“-Attacken. Die entdeckten Apps sind in beiden Sprachen verfügbar. Ein Teil davon war im Google Play Store selbst und in der App-Datenbank „Apkpure“ zu finden. Alle Apps sind mittlerweile von den jeweiligen Plattformen entfernt worden. Wer die Apps jedoch bereits installiert hat, muss sie nun manuell entfernen:
- File Manager (com.file.exploer)
- Software Update Utility
- 휴대폰 관리자 (Phone Manager)
- 스마트 관리자 (Smart Manager)
- 카카오 보안 (Kakao Security)
Unbemerkt eingeschleust Achtung! Bereits 150.000 Android-Smartphones mit Banking-Trojaner infiziert
Vorsicht! Diese Fake-Apps schleusen Trojaner aufs Smartphone
Neue Untersuchung Achtung! Fast 150.000 Android-Smartphones mit Banking-Trojaner infiziert
Was „KoSpy“ so gefährlich macht
Während die infizierten Apps auf den ersten Blick halbwegs legitim erscheinen, erfolgt im Hintergrund die Installation von „KoSpy“. Die Spyware erhält eine verschlüsselte Konfiguration aus dem Cloud-Firestore der Firebase-Datenbank. Damit können die Angreifer festlegen, ob „KoSpy“ sich an- oder ausschalten soll und über welche Server-Adresse die weitere Kommunikation läuft.
Sollte der sogenannte Command-and-Control-Server (C2) entdeckt oder blockiert werden, ist so ein einfacher Wechsel zu einem anderen C2 möglich. In einem weiteren Schritt geht „KoSpy“ sicher, dass es tatsächlich auf einem Smartphone installiert ist und prüft das Datum. Damit geht die Spyware sicher, ihre eigentliche Funktion so lange wie möglich verdeckt zu halten.
Ist „KoSpy“ aktiviert, erhält es von dem C2-Server weitere Plug-ins und Konfigurationen für die Ausführung der Überwachungsfunktion. „Lookout“ hat eine Reihe von Plug-ins identifiziert, die unter anderem SMS-Nachrichten, Anruf-Logs, Geräte-Standort, lokale Dateien und Tastatureingaben auslesen können. „KoSpy“ ist sogar in der Lage, eigenständig Videos und Fotos aufzunehmen, sowie Bildschirmfotos und Bildschirmaufnahmen zu starten.