Il Spyware Nordcoreano KoSpy prende di mira gli utenti Android attraverso false applicazioni

Ricercatori dell’azienda di cybersecurity Lookout hanno scoperto un nuovo spyware per Android, KoSpy, attribuito al gruppo di hacker nordcoreani APT37, conosciuto anche come ScarCruft.

Il malware, individuato per la prima volta a marzo 2022, rimane attivo e si trova incorporato in false app utility come “File Manager”, “Software Update Utility” e “Kakao Security”. Queste app, precedentemente disponibili su Google Play e su negozi di terze parti come Apkpure, erano progettate per prendere di mira utenti che parlano coreano e inglese.

KoSpy raccoglie una vasta gamma di informazioni sensibili, tra cui messaggi di testo, registri delle chiamate, dati sulla posizione, file, registrazioni audio e screenshot.

Il spyware opera utilizzando un sistema di comando e controllo (C2) a due stadi, prelevando prima le configurazioni da un database cloud Firebase prima di stabilire la comunicazione con i server remoti. Questa configurazione permette agli aggressori di cambiare server o disabilitare il malware secondo necessità.

Google ha rimosso tutte le app dannose note dal suo Play Store. Un portavoce ha dichiarato: “Google Play Protect protegge automaticamente gli utenti Android dalle versioni note di questo malware sui dispositivi con Google Play Services, anche quando le app provengono da fonti esterne al Play Store”, come riportato da The Record.

KoSpy condivide anche l’infrastruttura con un altro gruppo di hacker sostenuto dallo stato nordcoreano, APT43, noto per le campagne di spearphishing che distribuiscono malware per rubare dati sensibili. Questa sovrapposizione nell’infrastruttura rende difficile un’attribuzione precisa, ma i ricercatori di Lookout collegano KoSpy ad APT37 con una fiducia media.

ScarCruft conduce operazioni di cyber-spionaggio dal 2012, prendendo di mira principalmente la Corea del Sud ma estendendo anche la sua portata al Giappone, Vietnam, Russia, Nepal, Cina, India, Romania, Kuwait e Medio Oriente. Il gruppo è stato collegato ad attacchi contro organizzazioni mediatiche e accademici di alto profilo, così come ad un’operazione di malware nel Sud-est asiatico.

Sebbene KoSpy non sia più disponibile sul Google Play Store, i ricercatori avvertono che gli utenti dovrebbero rimanere cauti riguardo le app sospette, specialmente quelle che richiedono eccessivi permessi. Mantenere i dispositivi aggiornati e affidarsi a store di app ufficiali con protezioni di sicurezza come Google Play Protect può aiutare a mitigare i rischi.