زومیت/ ظاهراً هکرهای وابسته به کره شمالی با موفقیت اپلیکیشن‌های آلوده به بدافزاری خطرناک را در گوگل‌پلی منتشر کرده‌اند.
 
گروهی از هکرهای مرتبط با دولت کره شمالی، موفق شدند برنامه‌هایی آلوده به جاسوس‌افزار را در گوگل‌پلی منتشر کنند. طبق گزارش شرکت امنیت سایبری Lookout، این کمپین شامل چندین نمونه از جاسوس‌افزار اندرویدی KoSpy بود و حداقل یکی از این برنامه‌ها قبل از حذف‌شدن، بیش از ۱۰ بار دانلود شد.

Lookout با اطمینان زیاد جاسوس‌افزار KoSpy را به رژیم کره‌ شمالی نسبت می‌دهد. این بدافزار اطلاعات حساسی را از دستگاه‌های آلوده جمع‌آوری می‌کند؛ از‌جمله پیام‌های متنی، سوابق تماس، موقعیت مکانی، کلیدهای فشرده‌شده و فهرست برنامه‌های نصب‌شده. علاوه‌بر‌این، KoSpy می‌تواند صدا ضبط کند و عکس بگیرد و از صفحه‌نمایش دستگاه اسکرین‌شات تهیه کند. به‌ گفته‌ی Lookout، این جاسوس‌افزار از Firestore، دیتابیس جزو خدمات ابری گوگل، برای دریافت تنظیمات پیکربندی استفاده می‌کرد.

اد فرناندز، سخن‌گوی گوگل، تأیید کرد که تمام برنامه‌های شناسایی‌شده‌ی حاوی جاسوس‌افزار یادشده از گوگل‌پلی حذف و پروژه‌های مرتبط با Firebase نیز غیرفعال شده‌اند. فرناندز توضیح داد که ابزار Google Play Protect در گوشی‌های مجهز به Google Play Services، به‌طور خودکار از کاربران در برابر نسخه‌های شناخته‌شده‌ی این بدافزار حفاظت می‌کند. با‌این‌حال، گوگل درباره‌ی تأیید یا رد ارتباط این جاسوس‌افزار با دولت کره شمالی اظهار‌نظری نکرد.

به نظر می‌رسد کمپین جاسوسی اخیر کره‌ شمالی بسیار هدفمند بوده است. محققان Lookout معتقدند که قربانیان احتمالی افرادی در کره جنوبی بوده‌اند که به زبان انگلیسی یا کره‌ای مسلط هستند. این ارزیابی بر‌اساس نام برنامه‌ها و رابط کاربری کره‌ای و دامنه‌ها و آدرس‌های IP مرتبط با گروه‌های هکری کره شمالی APT37 و APT43 انجام شده است.
 
KoSpy علاوه‌بر گوگل‌پلی، در فروشگاه‌های شخص ثالث مانند APKPure شناسایی شد. سخن‌گوی APKPure اعلام کرد که این شرکت تماسی از Lookout درباره‌ی این جاسوس‌افزار دریافت نکرده است. همچنین، توسعه‌دهنده‌ی برنامه‌ی آلوده که ایمیلش در صفحه‌ی گوگل‌پلی درج شده بود، به درخواست رسانه‌ی TechCrunch برای اظهارنظر پاسخی نداد.

حملات سایبری کره‌ شمالی اغلب صرافی‌های ارز دیجیتال و مؤسسه‌های مالی را هدف قرار داده‌اند. به‌عنوان‌ مثال، این کشور اخیراً حدود ۱٫۴ میلیارد دلار اتریوم را از صرافی رمزارزی Bybit زدیده است. بااین‌حال، یافته‌های Lookout نشان می‌دهد که هدف کمپین KoSpy بیشتر بر جاسوسی و نظارت متمرکز بوده است و نه سرقت مالی.