مجموعة من الهاكرز مرتبطين بحكومة كوريا الشمالية تمكنوا من نشر برامج ضارة تحتوي على برامج تجسس عبر متجر جوجل بلاي حيث وفقًا لتقرير من شركة الأمن السيبراني Lookout تضمنت هذه الحملة عدة عينات من برامج التجسس المعروفة باسم KoSpy والتي استهدفت أجهزة أندرويد حيث تم تنزيل أحد هذه البرامج الضارة أكثر من 10 مرات قبل أن يتم اكتشافه وإزالته.
وترجح Lookout بشكل كبير أن برنامج KoSpy مرتبط بحكومة كوريا الشمالية حيث يقوم هذا البرنامج الضار بجمع معلومات حساسة من الأجهزة المصابة بما في ذلك الرسائل النصية وسجلات المكالمات والموقع الجغرافي والضغطات على لوحة المفاتيح وقائمة التطبيقات المثبتة بالإضافة إلى ذلك يمكن لـ KoSpy تسجيل الصور والصوت وأخذ لقطات شاشة من الجهاز المصاب.
وأشارت Lookout إلى أن البرنامج الضار كان يستخدم Firestore وهي قاعدة بيانات ضمن خدمات جوجل السحابية لتلقي إعدادات التكوين هذا وقد أكد "إد فرنانديز" المتحدث باسم جوجل أنه تم حذف جميع التطبيقات التي تحتوي على برامج التجسس من متجر جوجل بلاي كما تم تعطيل المشاريع المرتبطة بـ Firebase.
 |
| كوريا الشمالية متورطة بنشر برامج تجسس عبر متجر جوجل بلاي |
وأوضح فرنانديز أن أداة Google Play Protect المتوفرة في الأجهزة التي تعمل بخدمات جوجل بلاي تقوم تلقائيًا بحماية المستخدمين من الإصدارات المعروفة من هذا البرنامج الضار ومع ذلك لم تعلق جوجل بتأكيد أو نفي ارتباط هذا البرنامج الضار بحكومة كوريا الشمالية حيث يبدو أن الحملة الأخيرة للتجسس من كوريا الشمالية كانت موجهة بشكل محدد.
ويعتقد الباحثون في Lookout أن الضحايا المحتملين هم أشخاص في كوريا الجنوبية يجيدون اللغة الإنجليزية أو الكورية تم التوصل إلى هذا الاستنتاج بناءً على أسماء التطبيقات وواجهة المستخدم الكورية بالإضافة إلى النطاقات وعناوين IP المرتبطة بمجموعتي الهاكرز APT37 وAPT43 التابعتين لكوريا الشمالية.
وفي سياق آخر تم اكتشاف KoSpy أيضًا في متاجر تطبيقات تابعة لأطراف ثالثة مثل APKPure وذكر المتحدث باسم APKPure أن الشركة لم تتلق أي اتصال من Lookout بخصوص هذا البرنامج الضار كما لم يرد المطور المسؤول عن التطبيق الضار والذي تم نشر بريده الإلكتروني على صفحة جوجل بلاي على طلب موقع تك كراش للتعليق.
وعادة ما تستهدف الهجمات السيبرانية لكوريا الشمالية منصات تبادل العملات الرقمية والمؤسسات المالية حيث على سبيل المثال سرقت كوريا الشمالية مؤخرًا حوالي 1.4 مليار دولار من عملة الإيثريوم من منصة Bybit لتداول العملات الرقمية وتشير نتائج Lookout إلى أن حملة KoSpy كانت تركز بشكل أكبر على التجسس والمراقبة بدلًا من السرقة المالية.