据网络安全公司 Lookout 称，一群与朝鲜政权有联系的黑客将 Android 间谍软件上传到 Google Play 应用商店，并诱使一些人下载。在周三发布的一份报告中，Lookout 详细描述了一场间谍活动，该活动涉及多个不同的Android 间谍软件样本，Lookout 将其称为 KoSpy，并"高度确信"该间谍软件是朝鲜政府所为。

根据官方 Android 应用商店中该应用页面的缓存快照显示，至少有一款间谍软件应用曾在 Google Play 上出现过，并且下载次数超过 10 次。 Lookout 在其报告中附上了该页面的截图。

在过去几年中，朝鲜黑客因其大胆的加密货币抢劫而成为头条新闻的焦点，例如最近从加密货币交易所 Bybit 盗取了约 14 亿美元的以太坊。 然而，在这次新的间谍软件活动中，所有迹象都表明，根据 Lookout 所识别的间谍软件应用程序的功能，这是一次监视行动。

据 Lookout 报道，一款应用程序的 Google Play 商店页面存档版本截图，该应用程序假装是文件管理器，但实际上是朝鲜间谍软件。 (图片：Lookout）

朝鲜间谍软件活动的目标尚不清楚，但 Lookout 的安全情报研究主管克里斯托夫-赫贝森（Christoph Hebeisen）告诉 TechCrunch，由于只有少量下载，间谍软件应用程序很可能是针对特定人群的。

根据 Lookout 的说法，KoSpy 会收集"大量敏感信息"，包括 短信、通话记录、设备位置数据、设备上的文件和文件夹、用户输入的按键、Wi-Fi 网络详情以及已安装应用程序的列表。

KoSpy还能录音、用手机摄像头拍照和截取使用中的屏幕截图。

Lookout 还发现 KoSpy 依赖于Firestore，这是一个建立在Google云基础架构上的云数据库，用于检索"初始配置"。

Google发言人埃德-费尔南德斯（Ed Fernandez）表示mLookout 与该公司分享了其报告，"所有已确认的应用程序都已从 Play 中删除，Firebase 项目也已停用"，其中包括 Google Play 上的 KoSpy 样本。Google Play会自动保护用户的Android设备免受已知版本恶意软件的攻击。"

Google没有对有关该报告的一系列具体问题发表评论，包括Google是否同意将其归因于朝鲜政权，以及有关Lookout报告的其他细节。

报告还称，Lookout 在第三方应用程序商店 APKPure 中发现了一些间谍软件应用程序。 APKPure 发言人说，该公司没有收到 Lookout 的"任何电子邮件"。

Lookout 的 Hebeisen 和资深安全情报研究人员 Alemdar Islamoglu 表示，虽然 Lookout 没有任何关于具体是谁可能成为目标--被黑客攻击--的信息，但该公司确信这是一次高度有针对性的活动，目标很可能是在韩国讲英语或朝鲜语的人。

报告称，Lookout 的评估基于他们发现的应用程序名称，其中一些是韩文，而且一些应用程序的标题是韩文，用户界面支持两种语言。

Lookout 还发现，这些间谍软件应用程序使用的域名和 IP 地址之前已被确认存在于朝鲜政府黑客组织 APT37 和 APT43 使用的恶意软件和命令和控制基础设施中。

Hebeisen说："朝鲜威胁行为者的特别之处在于，他们似乎经常成功地将应用引入官方应用商店。"