O Spyware Norte-Coreano KoSpy Mira Usuários Android Através de Aplicativos Falsos

Pesquisadores da empresa de cibersegurança Lookout descobriram um novo spyware para Android, KoSpy, atribuído ao grupo de hackers norte-coreano APT37, também conhecido como ScarCruft.

O malware, detectado pela primeira vez em março de 2022, ainda está ativo e foi incorporado em falsos aplicativos utilitários como “Gerenciador de Arquivos”, “Utilitário de Atualização de Software” e “Segurança Kakao”. Esses aplicativos, anteriormente disponíveis no Google Play e em lojas de terceiros como a Apkpure, foram projetados para atingir usuários que falam coreano e inglês.

O KoSpy coleta uma ampla gama de informações sensíveis, incluindo mensagens de texto, registros de chamadas, dados de localização, arquivos, gravações de áudio e capturas de tela.

O spyware opera usando um sistema de comando e controle (C2) em duas etapas, primeiro recuperando configurações de um banco de dados na nuvem Firebase antes de estabelecer comunicação com servidores remotos. Esta configuração permite que os invasores alterem servidores ou desativem o malware conforme necessário.

O Google removeu todas as conhecidas aplicações maliciosas de sua Play Store. Um porta-voz declarou, “O Google Play Protect protege automaticamente os usuários do Android das versões conhecidas deste malware em dispositivos com serviços do Google Play, mesmo quando os aplicativos vêm de fontes fora do Play”, conforme relatado pelo The Record.

KoSpy também compartilha infraestrutura com outro grupo de hackers patrocinado pelo estado norte-coreano, APT43, conhecido por campanhas de spearphishing que implantam malware para roubar dados sensíveis. Essa sobreposição na infraestrutura torna a atribuição precisa difícil, mas os pesquisadores da Lookout associam o KoSpy ao APT37 com confiança média.

ScarCruft vem conduzindo operações de ciberespionagem desde 2012, visando principalmente a Coréia do Sul, mas também estendendo seu alcance ao Japão, Vietnã, Rússia, Nepal, China, Índia, Romênia, Kuwait e Oriente Médio. O grupo tem sido associado a ataques a organizações de mídia e acadêmicos de alto perfil, bem como uma operação de malware no Sudeste Asiático.

Embora o KoSpy não esteja mais disponível na Google Play Store, os pesquisadores alertam que os usuários devem permanecer cautelosos com aplicativos suspeitos, especialmente aqueles que solicitam permissões excessivas. Manter os dispositivos atualizados e confiar em lojas de aplicativos oficiais com proteções de segurança como o Google Play Protect pode ajudar a mitigar os riscos.