Skadlig programvara, malware, som tar sig förbi Googles bristfälliga kontroller av appar som ska släppas in den officiella butiken och distributionskanalen, Google Play, är inget nytt och nu har det hänt igen.
Det finns en viktig skillnad mellan Googles process för att godkänna appar för Google Play och Apples process för App Store. Apples automatiska kontroller, som görs med mjukvara, är långt mera effektiva och Apple gör även manuella kontroller – vilket Google gör först om det visar sig att något kan vara fel med en app. Därför har den officiella butiken, och Google, distribuerat appar som innehåller trojaner, skadlig och farlig kod och som nu – spionfunktioner.
Den senaste incidenten gällde just spionprogram som laddats upp till Androids appbutik av en grupp hackare som tros vara kopplade till den nordkoreanska regimen.
KoSpy
Säkerhetsforskare från Lookout Threat Lab har upptäckt spionprogrammet, kallat KoSpy, i flera appar som laddats upp till Google och som godkänt för Google Play. Apparna tros vara kopplade till den nordkoreanska APT-gruppen ScarCruft, även känd som APT37.
Spionprogrammet var gömt i den typ av falska appar vi så ofta ser i dessa fall: filhanterare, programuppdateringsverktyg och säkerhetsprogramvara. KoSpy kan stjäla en stora mängder känslig information från enheter som den infekterat. SMS-meddelanden, samtalsloggar, var en enhet finns (position), och programmet kan komma åt filer och mappar lokalt, Wi-Fi-nätverksinformation och en lista på vilka appar som är installerade i enheten.
Spela in
Spionprogrammet kan även spela in och ta bilder med enhetens kamera, ta skärmdumpar och spela in skärmen medan enheten används samt spela in tangenttryckningar.
