Podcast Generative AI kali ini saya akan fokus pada malware dari Korea Utara. Pada bulan Maret 2025, kelompok peretas yang dikenal sebagai ScarCruft atau APT37, yang berafiliasi dengan Korea Utara, kembali menggegerkan dunia siber dengan peluncuran malware terbaru mereka yang bernama Kospy. Malware ini dirancang khusus untuk mengawasi pengguna perangkat Android, terutama yang berbicara dalam bahasa Korea dan Inggris. Kospy berhasil menyusup ke dalam aplikasi-aplikasi yang tampaknya berguna di Google Play Store serta toko aplikasi pihak ketiga, dengan tujuan utama mencuri data sensitif dari perangkat yang terinfeksi.
Kospy beroperasi dengan menyamar sebagai aplikasi utilitas, seperti pengelola file dan aplikasi pembaruan perangkat lunak. Setelah diinstal, malware ini dapat mengumpulkan berbagai informasi penting, termasuk log panggilan, pesan teks, lokasi pengguna, serta mengambil tangkapan layar dan merekam audio melalui mikrofon perangkat. Data yang berhasil dikumpulkan kemudian dienkripsi dan dikirim ke server jarak jauh yang dikelola oleh para penyerang.
Perusahaan keamanan siber Lookout melaporkan bahwa Kospy telah ada sejak Maret 2022, namun varian terbaru baru ditemukan belakangan ini. Menanggapi ancaman ini, Google bertindak cepat dengan menghapus semua aplikasi yang teridentifikasi terinfeksi dari Google Play Store sebelum ada pengguna yang menginstalnya. Selain itu, Google Play Protect juga berfungsi untuk melindungi pengguna Android dari versi malware yang dikenal, meskipun aplikasi tersebut berasal dari sumber di luar Play Store.
ScarCruft, yang telah aktif sejak 2012, biasanya menargetkan individu dan organisasi di Korea Selatan, tetapi juga telah menyerang pengguna di negara lain seperti Jepang, Vietnam, dan beberapa negara di Timur Tengah. Dengan penggunaan bahasa Korea dalam antarmuka aplikasi, Kospy menunjukkan bahwa malware ini dirancang untuk serangan yang lebih terarah.
Kampanye ini menyoroti pentingnya kewaspadaan terhadap aplikasi yang diunduh dan perlunya pengguna untuk selalu memeriksa izin yang diminta oleh aplikasi, terutama yang berasal dari sumber yang tidak dikenal. Keberadaan Kospy menambah daftar panjang ancaman siber yang berasal dari kelompok peretas negara, dan menunjukkan bagaimana teknologi dapat disalahgunakan untuk tujuan pengawasan dan pencurian data.
