Breaking News
Nieuws

Noord-Koreaanse spyware gevonden in Android‑apps op Google Play

Redactie

Noord-Koreaanse spyware gevonden in Android‑apps op Google Play

Onderzoekers hebben meerdere Android‑apps ontdekt in Google Play die, volgens een beveiligingstest van het onderzoeksbureau, gebruikersinformatie uploaden naar servers die worden gecontroleerd door Noord‑Koreaanse inlichtingendiensten. De kwaadaardige software verbergt zich als schijnbaar legitieme apps en hulpprogramma’s.

De malwarefamilie, die volgens het beveiligingsbedrijf de naam “Lukeout” draagt, presenteert zich als bestanden, apps of OS‑updates en als hulpprogramma’s voor apparaatbeheer. Achter de schijnbare interface verzamelen de apps uiteenlopende informatie, waaronder sms‑berichten, oproeplogboeken, locaties, bestanden, ambient audio en screenshots. Die gegevens worden doorgestuurd naar command‑and‑control‑servers die verband lijken te houden met Noord‑Koreaanse spionageactiviteiten. De toepassingen richten zich op Engelstalige en Koreaanse gebruikers en zijn ontdekt in minimaal twee Android‑appmarkten, waaronder Google Play.

Denk twee keer na voordat u installeert

De malwaresamples maskeren zich als de volgende vijf soorten toepassingen:

  • Telefoonmanager
  • Bestandsbeheer
  • Slimme manager
  • Kakao‑bescherming
  • Software‑updatehulpprogramma

Naast Google Play waren sommige van deze apps ook beschikbaar in een externe marktplaats van derden (gerefereerd als “Epicpur” in de analyse). Uit de vondsten bleek dat het ontwikkelaarse‑mailadres mliqwl@gmail.com werd gebruikt en dat de privacybeleidspagina naar een Blogspot‑adres verwees (https://goldnsnakeblog.blogspot.com/2023/02/privacy-polc.html).

De privacypagina bevatte de volgende passage: “Ik denk dat uw vertrouwen in het verstrekken van uw persoonlijke informatie de moeite waard is, dus we proberen commercieel acceptabele manieren te gebruiken om het te beschermen. Maar houd er rekening mee dat geen enkele methode van opslag op internet of elektronische opslagmethode 100% veilig en betrouwbaar is en ik kan de perfecte beveiliging niet garanderen.”

De onderzoekers meldden dat, hoewel er op het moment van analyse geen aanwijzingen waren dat de pagina zelf direct door viruscode was geïnfecteerd, de gebruikte IP‑adressen verband hielden met ten minste drie domeinen die eerder werden ingezet als command‑and‑control‑servers. Die infrastructuur werd volgens de analyse al sinds 2019 gebruikt bij spionageactiviteiten die aan Noord‑Korea worden toegeschreven.

Bron: Ars Technica — Researchers find North Korean spy apps hosted in Google Play

Redactie

Ervaren journalist met passie voor nieuws en actualiteiten.

Gerelateerde Artikelen