KoSpyは英語および韓国語を話すユーザーをターゲットにしており、Google PlayだけでなくサードパーティーのアプリマーケットプレイスであるApkpureでも配信されていた模様。以下がGoogle Playで配信されていたKoSpy入りアプリのひとつである「File Manager」です。
「File Manager」の開発者のメールアドレスは「[email protected]」となっており、アプリのプライバリーポリシーページは「https://goldensnakeblog.blogspot.com/2023/02/privacy-policy.html」となっています。このプライバシーポリシーページには「個人情報をご提供いただくというお客様の信頼を大切にし、当社は商業的に許容される手段で個人情報を保護するよう努めています」「しかし、インターネットを介した送信方法や電子保存方法は100%安全で信頼できるものではなく、絶対的な安全性を保証することはできません」と記されています。なお、このプライバシーポリシーページは記事作成時点では閲覧可能であり、セキュリティ企業のVirusTotalによると悪意のある行為に関する報告はないそうです。
ただし、「File Manager」のコマンド&コントロールサーバーをホストしているIPアドレスは、少なくとも2019年以降、北朝鮮のスパイ活動で使用されてきたインフラストラクチャーをホストしていたことが知られている3つのドメインを以前にホストしていたことが確認されています。
Google PlayにホストされているわけではないKoSpy入りアプリは、2段階のコマンド&コントロールサーバーに依存しており、Googleが提供するウェブアプリケーション開発プラットフォームのFirebaseでホストされているデータベースから構成設定を取得していることが明らかになっています。なお、この報告を受けたGoogleは、当該アプリと構成データベースの両方を削除したと報告しました。
テクノロジーメディアのArs Technicaは、KoSpy入りのアプリがGoogle Play上でホストされていた正確な期間などについてGoogleに問い合わせていますが、記事作成時点では返答は得られていません。Googleの広報担当者は、当該アプリがGoogle Play上からダウンロードされる前に削除されたと報告していますが、Ars Technicaのデータ開示要求には応じていません。また、GoogleがAndroid向けに提供しているセキュリティ機能のGoogle Play プロテクトがあれば、「Google Play以外からインストールされたものであっても、デバイス上にインストールされた悪意のあるアプリなら検出できる」と言及したそうです。
