El spyware norcoreano KoSpy apunta a usuarios de Android a través de aplicaciones falsas

Investigadoras de la empresa de ciberseguridad Lookout han descubierto un nuevo spyware para Android, KoSpy, atribuido al grupo de hackers norcoreanos APT37, también conocido como ScarCruft.

El malware, detectado por primera vez en marzo de 2022, sigue activo y se ha incrustado en aplicaciones de utilidad falsas como “File Manager”, “Software Update Utility” y “Kakao Security”. Estas aplicaciones, anteriormente disponibles en Google Play y tiendas de terceros como Apkpure, fueron diseñadas para atacar a los usuarios de habla coreana e inglesa.

KoSpy recopila una amplia gama de información sensible, incluyendo mensajes de texto, registros de llamadas, datos de ubicación, archivos, grabaciones de audio y capturas de pantalla.

El spyware opera usando un sistema de comando y control (C2) en dos etapas, primero recupera configuraciones de una base de datos en la nube de Firebase antes de establecer comunicación con servidores remotos. Esta configuración permite a los atacantes cambiar servidores o desactivar el malware según sea necesario.

Google ha eliminado todas las aplicaciones maliciosas conocidas de su Play Store. Un portavoz declaró: “Google Play Protect protege automáticamente a los usuarios de Android de las versiones conocidas de este malware en dispositivos con Google Play Services, incluso cuando las aplicaciones provienen de fuentes fuera de Play”, tal como informó The Record.

KoSpy también comparte infraestructura con otro grupo de hackers respaldado por el estado de Corea del Norte, APT43, conocido por sus campañas de spearphishing que despliegan malware para robar datos sensibles. Esta superposición en la infraestructura hace difícil una atribución precisa, pero los investigadores de Lookout vinculan a KoSpy con APT37 con una confianza media.

ScarCruft ha estado realizando operaciones de ciberespionaje desde 2012, dirigiéndose principalmente a Corea del Sur pero también extendiendo su alcance a Japón, Vietnam, Rusia, Nepal, China, India, Rumania, Kuwait y Oriente Medio. El grupo ha sido relacionado con ataques a organizaciones de medios y académicos de alto perfil, así como con una operación de malware en el sudeste asiático.

Aunque KoSpy ya no está disponible en Google Play Store, los investigadores advierten que los usuarios deben seguir siendo cautelosos con las aplicaciones sospechosas, especialmente aquellas que solicitan permisos excesivos. Mantener los dispositivos actualizados y confiar en las tiendas oficiales de aplicaciones con protecciones de seguridad como Google Play Protect puede ayudar a mitigar los riesgos.