گروهی از هکرهای مرتبط با دولت کره شمالی موفق شدند برنامههایی آلوده به جاسوسافزار را در گوگلپلی منتشر کنند. طبق گزارش شرکت امنیت سایبری Lookout، این کمپین شامل چندین نمونه از جاسوسافزار اندرویدی KoSpy بود که از Firestore، دیتابیس خدمات ابری گوگل، برای دریافت تنظیمات پیکربندی استفاده میکرد. این بدافزار اطلاعات حساسی را از دستگاههای آلوده جمعآوری میکند، از جمله پیامهای متنی، سوابق تماس، موقعیت مکانی، کلیدهای فشردهشده و فهرست برنامههای نصبشده. KoSpy همچنین میتواند صدا ضبط کند و عکس بگیرد و از صفحهنمایش دستگاه اسکرینشات تهیه کند.
این جاسوسافزار توسط گروهی از هکرهای مرتبط با دولت کره شمالی ساخته شده بود و هدف آن بر جاسوسی و نظارت متمرکز بود. طبق گزارش Lookout، این کمپین بیشتر بر علیه کاربران کره جنوبی با مهارتهای زبان انگلیسی یا کرهای تمرکز داشت. این چارچوب آلوده شده در فروشگاههای شخص ثالث مانند APKPure شناسایی شد، اما-development یادآور پاسخی به در خواست رسانه TechCrunch برای اظهار نظر نداد.
اد فرناندز، سخنگوی گوگل، تأیید کرد که تمام برنامههای شناساییشده حاوی جاسوسافزار KoSpy از گوگلپلی حذف و پروژههای مرتبط با Firebase نیز غیرفعال شدهاند. گوگل همچنین تأکید کرد که ابزار Google Play Protect بهطور خودکار از کاربران در برابر نسخههای شناختهشدهی این بدافزار حفاظت میکند. با این حال، گوگل دربارهی ارتباط این جاسوسافزار با دولت کره شمالی اظهار نظر نکرد.
این حملات سایبری کره شمالی معمولاً صرافیهای ارز دیجیتال و مؤسسههای مالی را هدف قرار میدهند. یک نمونه از این حملات اخیراً حدود ۱٫۴ میلیارد دلار اتریوم را از صرافی رمزارزی Bybit زدید.