KUALA LUMPUR, 16 Mac 2025 – Penyelidik keselamatan telah mengenal pasti spyware Android baharu bernama ‘KoSpy’ yang dikaitkan dengan kumpulan penggodam Korea Utara, APT37 (ScarCruft). Perisian malware ini berjaya menyusup masuk ke dalam Google Play dan APKPure melalui sekurang-kurangnya lima aplikasi berbahaya sejak Mac 2022.
Menurut firma keselamatan siber Lookout, kempen ini menyasarkan pengguna berbahasa Korea dan Inggeris dengan menyamar sebagai pengurus fail, alat keselamatan, dan perisian kemas kini sistem.
Lima Aplikasi Berbahaya yang Dikesan
Lima aplikasi yang dikenal pasti mengandungi KoSpy ialah:
1. 휴대폰 관리자 (Phone Manager)
2. File Manager (com.file.exploer)
3. 스마트 관리자 (Smart Manager)
4. 카카오 보안 (Kakao Security)
5. Software Update Utility
Bagaimana KoSpy Beroperasi?
Setelah dipasang, KoSpy mengambil fail konfigurasi yang disulitkan dari pangkalan data Firebase Firestore untuk mengelakkan dikesan oleh perisian keselamatan. Ia kemudian akan:
✔ Menyambung ke pelayan kawalan (C2) dan mengesahkan peranti bukan emulator.
✔ Mengambil arahan dari pelayan termasuk muatan tambahan atau pengaktifan/deaktifan melalui suis kawalan.
Spyware ini mampu:
🔹 Memintas SMS dan rekod panggilan
🔹 Mengesan lokasi GPS mangsa secara langsung
🔹 Mengakses dan mencuri fail daripada storan peranti
🔹 Menggunakan mikrofon untuk merakam audio
🔹 Menggunakan kamera untuk mengambil foto dan video
🔹 Merakam tangkapan skrin peranti
🔹 Merekod input papan kekunci melalui Android Accessibility Services
Setiap aplikasi menggunakan projek Firebase dan pelayan C2 berasingan untuk mengekstrak data, yang disulitkan menggunakan kunci AES yang telah diprogramkan sebelum dihantar kepada penggodam.
Google Bertindak, Pengguna Perlu Berhati-hati
Semua aplikasi KoSpy telah dibuang dari Google Play dan APKPure, tetapi pengguna yang telah memasangnya perlu menyahpasang secara manual dan melakukan imbasan keselamatan untuk memastikan peranti mereka bebas daripada ancaman ini.
Dalam kes kritikal, disarankan agar pengguna melakukan reset kilang (factory reset) bagi menghapuskan sepenuhnya sisa perisian hasad.
Menurut jurucakap Google:
“Sebelum sebarang pengguna sempat memasangnya, sampel malware terbaru yang ditemui pada Mac 2024 telah dibuang dari Google Play.”
Google juga menegaskan bahawa Google Play Protect dapat menghalang versi KoSpy yang dikenali, walaupun aplikasi dimuat turun daripada sumber luar Google Play.
