为朝鲜政府工作的黑客在Google Play 应用商店中植入间谍软件

朝鲜间谍软件活动的目标尚不清楚，但Lookout的安全情报研究主管克里斯托夫-赫贝森（ChristophHebeisen）告诉TechCrunch，由于只有少量下载，间谍软件应用程序很可能是针对特定人群的。

根据Lookout的说法，KoSpy会收集"大量敏感信息"，包括短信、通话记录、设备位置数据、设备上的文件和文件夹、用户输入的按键、Wi-Fi网络详情以及已安装应用程序的列表。

KoSpy还能录音、用手机摄像头拍照和截取使用中的屏幕截图。

Lookout还发现KoSpy依赖于Firestore，这是一个建立在Google云基础架构上的云数据库，用于检索"初始配置"。

Google发言人埃德-费尔南德斯（EdFernandez）表示mLookout与该公司分享了其报告，"所有已确认的应用程序都已从Play中删除，Firebase项目也已停用"，其中包括GooglePlay上的KoSpy样本。GooglePlay会自动保护用户的Android设备免受已知版本恶意软件的攻击。"

Google没有对有关该报告的一系列具体问题发表评论，包括Google是否同意将其归因于朝鲜政权，以及有关Lookout报告的其他细节。

报告还称，Lookout在第三方应用程序商店APKPure中发现了一些间谍软件应用程序。APKPure发言人说，该公司没有收到Lookout的"任何电子邮件"。

Lookout的Hebeisen和资深安全情报研究人员AlemdarIslamoglu表示，虽然Lookout没有任何关于具体是谁可能成为目标--被黑客攻击--的信息，但该公司确信这是一次高度有针对性的活动，目标很可能是在韩国讲英语或朝鲜语的人。

报告称，Lookout的评估基于他们发现的应用程序名称，其中一些是韩文，而且一些应用程序的标题是韩文，用户界面支持两种语言。

Lookout还发现，这些间谍软件应用程序使用的域名和IP地址之前已被确认存在于朝鲜政府黑客组织APT37和APT43使用的恶意软件和命令和控制基础设施中。

Hebeisen说："朝鲜威胁行为者的特别之处在于，他们似乎经常成功地将应用引入官方应用商店。"