據網路安全公司Lookout 稱，一群與北韓政權有聯繫的駭客將Android 間諜軟體上傳到Google Play 應用程式商店，並誘使一些人下載。在周三發布的一份報告中，Lookout 詳細描述了一場間諜活動，該活動涉及多個不同的Android 間諜軟體樣本，Lookout 將其稱為KoSpy，並”高度確信”該間諜軟體是朝鮮政府所為。

根據Android 應用程式商店官方商店中該應用程式頁面的快取快照顯示，至少有一款間諜軟體應用程式曾在Google Play 上出現過，並且下載次數超過10 次。 Lookout 在其報告中附上了該頁面的截圖。

在過去幾年中，北韓駭客因其大膽的加密貨幣搶劫而成為頭條新聞的焦點，例如最近從加密貨幣交易所Bybit 盜取了約14 億美元的以太坊。 然而，在這次新的間諜軟體活動中，所有跡像都表明，根據Lookout 所識別的間諜軟體應用程式的功能，這是一次監視行動。

根據Lookout 報導，一款應用程式的Google Play 商店頁面存檔版本截圖，該應用程式假裝是檔案管理器，但實際上是北韓間諜軟體。 (圖片：Lookout）

北韓間諜軟體活動的目標尚不清楚，但Lookout 的安全情報研究主管克里斯托夫-赫貝森（Christoph Hebeisen）告訴TechCrunch，由於只有少量下載，間諜軟體應用程式很可能是針對特定人群的。

根據Lookout 的說法，KoSpy 會收集”大量敏感資訊”，包括簡訊、通話記錄、裝置位置資料、裝置上的檔案和資料夾、使用者輸入的按鍵、Wi-Fi 網路詳情以及已安裝應用程式的清單。

KoSpy還能錄音、用手機相機拍照和截取使用中的螢幕截圖。

Lookout 也發現KoSpy 依賴Firestore，這是建立在Google雲端基礎架構上的雲端資料庫，用於檢索”初始配置”。

Google發言人 Ed Fernandez表示mLookout 與該公司分享了其報告，”所有已確認的應用程式都已從Play 中刪除，Firebase 專案也已停用”，其中包括Google Play 上的KoSpy 樣本。 Google Play會自動保護使用者的Android裝置免受已知版本惡意軟體的攻擊。 “

Google並未對報告的一系列具體問題發表評論，包括Google是否同意將其歸因於北韓政權，以及有關Lookout報告的其他細節。

報告還稱，Lookout 在第三方應用程式商店APKPure 中發現了一些間諜軟體應用程式。 APKPure 發言人說，該公司沒有收到Lookout 的”任何電子郵件”。

Lookout 的Hebeisen 和資深安全情報研究人員Alemdar Islamoglu 表示，雖然Lookout 沒有任何關於具體是誰可能成為目標–被黑客攻擊–的信息，但該公司確信這是一次高度有針對性的活動，目標很可能是在韓國講英語或朝鮮語的人。

報告稱，Lookout 的評估是基於他們發現的應用程式名稱，其中一些是韓文，而且一些應用程式的標題是韓文，用戶介面支援兩種語言。

Lookout 還發現，這些間諜軟體應用程式使用的網域和IP 位址先前已被確認存在於北韓政府駭客組織APT37 和APT43 使用的惡意軟體和命令和控制基礎設施中。

Hebeisen說：”北韓威脅行為者的特別之處在於，他們似乎經常成功地將應用程式引入官方應用程式商店。”