Alcuni ricercatori di sicurezza hanno individuato diverse applicazioni Android contenenti spyware nordcoreani e disponibili su Google Play. Queste app, mascherate da strumenti di gestione file, aggiornamenti software e utilità di sicurezza per il dispositivo, avrebbero superato i controlli di sicurezza di Google e sono state concepite per sottrarre informazioni sensibili dagli utenti. Inviandole poi a server controllati da remoto.
Copy: lo spyware nascosto nelle app Android
Lo spyware, battezzato KoSpy dagli esperti di Lookout, raccoglie SMS, registri delle chiamate, posizione, file, audio ambientale e screenshot. Registrerebbe persino sequenze di tasti abusando dei servizi di accessibilità di Android. Tra le app coinvolte figurano poi phone manager, file manager, utility per l’update software e smart manager.
Oltre a Google Play le app erano disponibili anche sul marketplace di terze parti Apkpure. L’infrastruttura di comando e controllo sfruttava un database ospitato su Firebase, piattaforma di Google per sviluppatori web. Una volta individuata è stata però rimossa.
Un’infrastruttura di spionaggio tramite app
Le app Android coinvolte sfruttavano una struttura a due livelli: una prima fase per ottenere configurazioni da Firebase e una seconda per inviare i dati raccolti a server noti per essere stati usati in precedenti operazioni di spionaggio. Gli indirizzi IP associati erano già stati segnalati già nel 2019 per attività malevole.
Google ha rimosso le app e il database di configurazione ma non avrebbe ancora fornito dei dettagli su quante di esse fossero effettivamente presenti su Play e per quanto tempo. Lookout attribuisce l’operazione ai gruppi APT37 (ScarCruft) e APT43 (Kimsuki) che sono noti per alcuni attacchi di cyberspionaggio svolti per conto del governo nordcoreano.
Chi dovesse sospettare di avere installato una di queste applicazioni dovrebbe verificare gli indicatori di compromissione che sono stati segnalati nell’apposito rapporto di Lookout. In caso di eventuali corrispondenze è necessario rimuovere immediatamente qualsiasi applicazione ritenuta non affidabile.
Per restare sempre aggiornato seguici su Google News!
