Investigadores de ciberseguridad en Lookout han descubierto Kospy, un sofisticado spyware de Android vinculado a Corea del Norte que ha logrado infiltrarse en el Google Play Store. El malware se atribuye a Scarcruft (APT37), un grupo de piratería de Corea del Norte, y se disfraza de sí mismo como aplicaciones legítimas. Se dirige a usuarios coreanos e ingleses y puede robar datos confidenciales mientras permanece sin ser detectado durante meses.
Cómo Kospy infecta dispositivos
Según los investigadores, Kospy se disfraza de una aplicación de utilidad legítima en un teléfono. Lookout ha encontrado al menos cinco variaciones del malware disfrazarse como 휴대폰 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 관리자 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안, 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 dirección 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 보안 uctentagrabada eléctrica.
Dados sus nombres legítimos, puede engañar a los usuarios para que lo insten. Una vez instalado, espera la activación. A diferencia del malware típico, Kospy no comienza de inmediato sus actividades de espionaje. Eso sería demasiado sospechoso. En cambio, los investigadores encontraron que el Kospy Spyware se basaba en plataformas legítimas para obtener actualizado Comando y control (C2) direcciones.
Esto permite a los atacantes de Corea del Norte activar, actualizar y modificar el spyware de forma remota a través de Google Play y Firebase Firestore, un servicio en la nube de Google, sin requerir la interacción del usuario, lo que dificulta mucho la detección.
Lo que Kospy puede hacer
Una vez activo, Kospy Puede robar mensajes SMS y llamar a los registros. Puede rastrear la ubicación GPS en tiempo real, acceder y modificar archivos, grabar audio, tomar fotos y capturar pulsaciones de teclas y capturas de pantalla.
El spyware encripta los datos robados utilizando el cifrado AES antes de enviarlo a los servidores C2, lo que dificulta la intercepción. Además, los atacantes pueden instalar nuevos complementos, expandiendo las capacidades de espionaje del malware sin reinfectar el dispositivo.
Kospy es peligroso porque su sistema C2 es más avanzado que el malware típico. En lugar de codificar la dirección C2 en el malware en sí, lo que suele hacer otro malware, recupera la última dirección C2 de Firebase Firestore. Utiliza Firebase como un relé y evita que las herramientas de seguridad detecten inmediatamente el tráfico malicioso, especialmente porque Google posee Firestore, lo que hace que las solicitudes parezcan un tráfico legítimo.
Los atacantes también pueden apagar o reactivar el spyware de forma remota y cambiar las direcciones C2 si uno está bloqueado. Esto hace que Kospy sea más difícil de interrumpir que el spyware tradicional. Google ya ha eliminado estas aplicaciones maliciosas, pero plantea preocupaciones sobre la seguridad de las tiendas de aplicaciones oficiales. Como siempre, intente descargar aplicaciones de tiendas de aplicaciones adecuadas y confiables cuando sea posible. Además, asegúrese de verificar las revisiones y asegúrese de que su teléfono tenga las últimas actualizaciones de seguridad instaladas.
Fuente: Android Headlines