نفوذ هکرهای کره شمالی به گوگل پلی با جاسوس‌افزار خطرناک KoSpy

طبق گزارش Lookout که در ۱۲ مارس ۲۰۲۵ منتشر شد، KoSpy در قالب اپلیکیشن‌های قانونی ظاهر شده و توانسته از سد سیستم‌های امنیتی گوگل عبور کند. یکی از این اپلیکیشن‌های مخرب که خود را به‌عنوان یک فایل منیجر معرفی می‌کرد، مدتی در گوگل پلی در دسترس بوده و بیش از ۱۰ بار دانلود شده است. Lookout در گزارش خود اسکرین‌شاتی از صفحه این اپ در گوگل پلی منتشر کرده است.

بررسی‌ها نشان می‌دهد که این جاسوس‌افزار حجم گسترده‌ای از اطلاعات شخصی کاربران را جمع‌آوری می‌کرده، از جمله پیامک‌ها، تاریخچه تماس‌ها، موقعیت مکانی دستگاه، فایل‌ها، کلیدهای فشرده‌شده روی کیبورد، اطلاعات شبکه وای‌فای و لیست اپلیکیشن‌های نصب‌شده. علاوه بر این، KoSpy قادر بوده صدا ضبط کند، از طریق دوربین گوشی عکس بگیرد و از صفحه‌نمایش اسکرین‌شات ثبت کند.

هکرهای کره شمالی متوجه افراد خاصی شده و یک عملیات گسترده برای آلوده‌سازی عمومی نبوده است

برخلاف حملات قبلی هکرهای کره شمالی که عمدتا بر سرقت ارزهای دیجیتال متمرکز بود، این کمپین جاسوس‌افزاری بیشتر بر نظارت و جمع‌آوری اطلاعات تمرکز داشته است. کریستوف هبایزن، مدیر تحقیقات امنیتی Lookout، اشاره کرده که تعداد کم دانلودهای این اپ نشان می‌دهد که این حمله صرفا متوجه افراد خاصی بوده و یک عملیات گسترده برای آلوده‌سازی عمومی نبوده است.

بر اساس زبان به‌کاررفته در توضیحات اپلیکیشن‌ها و رابط کاربری آن‌ها، و همچنین زیرساخت‌های مرتبط با بدافزار، Lookout احتمال می‌دهد که هدف اصلی این حمله، افراد ساکن کره جنوبی بوده‌اند که به زبان‌های کره‌ای یا انگلیسی صحبت می‌کنند.

واکنش گوگل به نفوذ چه بود؟

پس از دریافت گزارش Lookout، گوگل بلافاصله اپلیکیشن‌های شناسایی‌شده را از پلی استور حذف کرد و پروژه‌های مرتبط در Firebase را غیرفعال ساخت. اد فرناندز، سخنگوی گوگل، تأیید کرد که سرویس‌های امنیتی گوگل پلی اکنون کاربران را از نسخه‌های شناخته‌شده این بدافزار محافظت می‌کنند.

با این حال، گوگل هنوز اظهار نظری درباره‌ی ارتباط این حمله با دولت کره شمالی نکرده و مشخص نیست که هکرها چطور موفق به عبور از فرایند بررسی امنیتی گوگل پلی شده‌اند.

گزارش Lookout نشان می‌دهد که نسخه‌هایی از این جاسوس‌افزار در فروشگاه APKPure نیز یافت شده است. با این حال، سخنگوی APKPure در پاسخ به خبرنگاران ادعا کرده که این شرکت هیچ ایمیلی از Lookout درباره این اپلیکیشن‌های مخرب دریافت نکرده است.

حتی پلتفرم‌های معتبر هم از خطر بدافزارها در امان نیستند!

تحقیقات Lookout نشان می‌دهد که اپلیکیشن‌های جاسوس‌افزار شناسایی‌شده از دامنه‌ها و آدرس‌های IP مرتبط با گروه‌های هکری معروف کره شمالی، APT37 و APT43، استفاده می‌کرده‌اند. این گروه‌ها به دلیل انجام حملات سایبری و جاسوسی گسترده علیه دولت‌ها، شرکت‌ها و افراد، شهرت دارند.

هبایزن تأکید کرده که هکرهای کره شمالی بارها موفق شده‌اند اپلیکیشن‌های آلوده خود را در فروشگاه‌های رسمی منتشر کنند، که نشان از تهدید مستمر و در حال تکامل آن‌ها دارد.

این کشف جدید بار دیگر نشان می‌دهد که حتی پلتفرم‌های معتبر نیز از خطر انتشار بدافزارها در امان نیستند. علی‌رغم تدابیر امنیتی شدید، مجرمان سایبری همچنان راه‌هایی برای نفوذ به فروشگاه‌های اپلیکیشن پیدا می‌کنند. کاربران باید هنگام دانلود اپلیکیشن، حتی از منابع رسمی، دقت بیشتری به خرج دهند و پیش از نصب، مجوزهای دسترسی اپلیکیشن و هویت توسعه‌دهنده آن را بررسی کنند.

با پیشرفت تهدیدات سایبری، شرکت‌های امنیتی و فروشگاه‌های اپلیکیشن باید استراتژی‌های دفاعی خود را تقویت کنند تا از بروز حملات مشابه در آینده جلوگیری شود. در همین حال، احتمال اجرای کمپین‌های جاسوسی سایبری تحت حمایت دولت‌ها همچنان یکی از نگرانی‌های اصلی دولت‌ها و کارشناسان امنیت سایبری در سراسر جهان است.