Un nuevo spyware para Android llamado KoSpy ha sido vinculado a actores de amenazas norcoreanos, quienes lograron infiltrarse en Google Play y en la tienda de terceros APKPure a través de al menos cinco aplicaciones maliciosas.
Grupo APT37 detrás del ataque
Según los investigadores de Lookout, KoSpy ha sido atribuido al grupo norcoreano APT37 (ScarCruft). La campaña ha estado activa desde marzo de 2022, con los actores de amenazas desarrollando versiones más avanzadas del malware.
Objetivo principal:
Usuarios de habla coreana e inglesa.
Aplicaciones disfrazadas de gestores de archivos, herramientas de seguridad y actualizadores de software.
Las cinco apps maliciosas detectadas por Lookout son:
1️⃣ 휴대폰 관리자 (Phone Manager)
2️⃣ File Manager (com.file.exploer)
3️⃣ 스마트 관리자 (Smart Manager)
4️⃣ 카카오 보안 (Kakao Security)
5️⃣ Software Update Utility
️♂️ KoSpy opera en segundo plano tras la instalación de estas apps, con una excepción: Kakao Security, que solo muestra una ventana falsa del sistema mientras solicita permisos riesgosos.
¿Cómo funciona KoSpy? ⚠️
Descarga un archivo de configuración cifrado desde Firebase Firestore para evadir detección.
Se conecta con un servidor de comando y control (C2).
Verifica que no esté corriendo en un emulador.
Puede actualizar configuraciones, ejecutar cargas maliciosas y activarse/desactivarse remotamente.
Capacidades de espionaje de KoSpy ️♀️
Intercepción de SMS y registros de llamadas.
Seguimiento de ubicación GPS en tiempo real.
Robo de archivos almacenados en el dispositivo.
Grabación de audio con el micrófono.
Captura de fotos y videos con la cámara.
️ Capturas de pantalla del dispositivo.
⌨️ Registro de pulsaciones de teclas a través de los Servicios de Accesibilidad de Android.
Cada app utiliza un proyecto Firebase y un servidor C2 independiente para la exfiltración de datos, cifrados con una clave AES preconfigurada antes de ser enviados.
¿Cómo protegerse del Spyware Kospy? ️
✔️ Las apps han sido eliminadas de Google Play y APKPure, pero los usuarios deben desinstalarlas manualmente y ejecutar herramientas de seguridad para eliminar cualquier rastro de infección.
✔️ En casos críticos, se recomienda hacer un restablecimiento de fábrica.
✔️ Activar Google Play Protect en dispositivos actualizados ayuda a bloquear amenazas conocidas como KoSpy.
Google confirma la eliminación de las apps
Un portavoz de Google declaró a BleepingComputer que todas las apps KoSpy detectadas han sido eliminadas de Google Play y que sus proyectos Firebase también fueron cerrados.
️ “El uso de idioma regional sugiere que este malware estaba dirigido a objetivos específicos. La última muestra descubierta en marzo de 2024 fue eliminada antes de que los usuarios pudieran instalarla.”
Google Play Protect protege a los usuarios de Android de versiones conocidas de este malware, incluso si las apps provienen de fuentes externas a la Play Store.