The researchers discovered several Android applications, some who were available in Google Play after having passed the company’s security check, which surreptitiously downloaded information from user sensitive to spies working for the North Korean government.
Malventy software samples – named Kospy by Lookout, the security company that discovered it – masquerade as utility supports to manage files, updates of applications or operating system and safety of devices. Behind the interfaces, applications can collect a variety of information, including SMS messages, call newspapers, location, files, nearby audio and screenshots and send them to servers controlled by North Korean intelligence staff. The applications target the English language and the speakers of the Korean language and were available in at least two Android application markets, including Google Play.
Think twice before installation
The surveillance software emerges as the following five different applications:
- 휴대폰 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자
- File manager
- 스마트 관리자 (smart manager)
- 카카오 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안
- Software update utility
In addition to the game, applications have also been available on the third -party APKPURE market. The following image shows how such an application appeared in Play.
The image shows that the developer’s email address was mlyqwl @ gmail[.]com and the privacy policy page for the application were on https: //goldensnakeblog.blogspot[.]com / 2023/02 / privacy-policy.html.
“I appreciate your confidence in providing us with your personal information, so we strive to use commercially acceptable means of protecting it,” says the page. “But don’t forget that no transmission method on the Internet, or the electronic storage method is 100% secure and reliable, and I cannot guarantee its absolute safety.”
The page, which remained available when this message was put online on ARS, has no mean report on the total of the virus. On the other hand, the IP addresses hosting control and control servers have previously hosted at least three areas known since at least 2019 to accommodate the infrastructure used in North Korean spy operations.
