Image by Azamat E, from Unsplash
Kuzey Kore Casus Yazılımı KoSpy, Android Kullanıcılarını Sahte Uygulamalar Aracılığıyla Hedefliyor
Okuma süresi: 2 dk.
Son Güncellenen Mar 13, 2025
-
![Kiara Fabbri]()
-
![Lokalizasyon ve Çeviri Ekibi]()
Çevirisi tarafından yapılmıştır Lokalizasyon ve Çeviri Ekibi Lokalizasyon ve Çeviri Hizmetleri
Siber güvenlik firması Lookout araştırmacıları, Kuzey Koreli hacker grubu APT37, aynı zamanda ScarCruft olarak da bilinen, tarafından oluşturulan yeni bir Android casus yazılımı, KoSpy’i ortaya çıkardı.
Acele Mi Ediyorsunuz? İşte Hızlı Bilgiler!
- Malware, SMS’leri, arama kayıtlarını, konumu, sesi, dosyaları ve ekran görüntülerini çalar.
- KoSpy uygulamaları Google Play’de bulunuyordu ancak Google tarafından kaldırıldı.
- Casus yazılım, Firebase ve iki aşamalı bir Komut ve Kontrol sistemi aracılığıyla iletişim kurar.
Mart 2022’de ilk kez fark edilen zararlı yazılım, aktifliğini koruyor ve “Dosya Yöneticisi”, “Yazılım Güncelleme Aracı” ve “Kakao Güvenlik” gibi sahte hizmet uygulamalarına yerleştirilmiştir. Bu uygulamalar, daha önce Google Play ve Apkpure gibi üçüncü taraf mağazalarda bulunarak, Koreli ve İngilizce konuşan kullanıcıları hedeflemek üzere tasarlanmıştı.
KoSpy, metin mesajları, arama kayıtları, konum verileri, dosyalar, ses kayıtları ve ekran görüntüleri dahil olmak üzere geniş bir hassas bilgi yelpazesi toplar.
Bu casus yazılım, iki aşamalı bir komuta ve kontrol (C2) sistemi kullanarak çalışır, öncelikle Firebase bulut veritabanından yapılandırmaları alır ve daha sonra uzak sunucularla iletişim kurar. Bu kurulum, saldırganların ihtiyaç duyduklarında sunucuları değiştirmelerine veya zararlı yazılımı devre dışı bırakmalarına olanak sağlar.
Google, Play Store’dan bilinen tüm zararlı uygulamaları kaldırdı. Bir sözcü, “Google Play Protect, Google Play Hizmetleri olan cihazlarda bu zararlı yazılımın bilinen sürümlerinden Android kullanıcılarını otomatik olarak korur, uygulamalar Play dışındaki kaynaklardan gelse bile” dedi, The Record tarafından bildirildiği gibi.
KoSpy, aynı zamanda hassas verileri çalmak için zararlı yazılımlar kullanan, Kuzey Kore devlet destekli başka bir bilgisayar korsanı grubu olan APT43 ile altyapıyı paylaşıyor. Bu altyapıdaki örtüşme, kesin bir atıfta bulunmayı zorlaştırıyor, ancak Lookout araştırmacıları KoSpy’nin APT37 ile orta derecede güvenilir bir bağlantı kuruyor.
ScarCruft, 2012 yılından bu yana siber casusluk operasyonları yürütüyor, öncelikli hedefi Güney Kore olmakla birlikte faaliyetlerini Japonya, Vietnam, Rusya, Nepal, Çin, Hindistan, Romanya, Kuveyt ve Orta Doğu’ya kadar genişletiyor. Grup, medya organizasyonlarına ve önemli akademisyenlere yapılan saldırılarla ve Güneydoğu Asya’daki bir kötü amaçlı yazılım operasyonuyla bağlantılıdır.
KoSpy artık Google Play Store’da mevcut olmasa da, araştırmacılar kullanıcıların şüpheli uygulamalara karşı dikkatli olmaları gerektiği konusunda uyarıyor, özellikle aşırı izin talep edenler konusunda. Cihazları güncel tutmak ve Google Play Protect gibi güvenlik korumaları sunan resmi uygulama mağazalarına güvenmek, riskleri hafifletebilir.
Önceki Hikâye
Son makaleler 
