Android: trovate app con spyware nordcoreano sul Play Store

Recenti indagini sulla sicurezza informatica hanno portato alla scoperta di un sofisticato spyware annidato in diverse applicazioni Android, alcune delle quali sono riuscite a superare i controlli di sicurezza del Play Store di Google. Secondo gli esperti di Lookout, le app malevole, identificate con il nome KoSpy, si mascheravano da strumenti di gestione di file, aggiornamenti software e applicazioni per la sicurezza dei dispositivi.

Dietro un’interfaccia apparentemente innocua, questi software raccoglievano dati sensibili dagli smartphone Android infetti, inviandoli a server controllati da attori legati all’intelligence della Corea del Nord. Tra le informazioni sottratte figurano messaggi, registri delle chiamate, posizione GPS, file personali, registrazioni audio ambientali e persino screenshot! L’attacco, mirato principalmente a utenti di lingua inglese e coreana, si estendeva anche ad altri store di terze parti, come Apkpure.

Le app utilizzavano un sistema di comando e controllo a due livelli, sfruttando un database Firebase per scaricare le configurazioni malevole. Sebbene Google abbia rimosso sia le applicazioni che il database dai propri server, non ha fornito dettagli su quanti utenti siano stati colpiti né su quanto tempo queste siano rimaste disponibili nel Play Store.

Credit: Lookout.

L’arsenale software di KoSpy si è rivelato particolarmente avanzato grazie all’uso di plugin caricati dinamicamente, che permettevano di ampliare le capacità di sorveglianza del malware. Oltre all’accesso ai dati più comuni, il software malevolo era in grado di registrare l’attività su schermo, catturare immagini tramite la fotocamera del dispositivo e persino tracciare la digitazione sfruttando le funzioni di accessibilità di Android. I dati raccolti venivano crittografati con una chiave AES incorporata nel codice prima di essere trasmessi ai server di comando e controllo.

L’operazione, come già anticipato poc’anzi, sembra riconducibile a gruppi di cyber-spionaggio nordcoreani, identificati in passato come APT37 (ScarCruft) e APT43 (Kimsuki). Nonostante la rimozione delle app dal Play Store, gli esperti di sicurezza avvertono che simili minacce potrebbero ripresentarsi in futuro. Secondo gli esperti, gli utenti Android dovrebbero valutare attentamente l’affidabilità di qualsiasi applicazione prima di procedere con l’installazione, poiché molte non offrono reali benefici e potrebbero nascondere pericoli per la privacy.