I ricercatori di Lookout hanno scoperto un nuovo spyware per Android denominato KoSpy. Viene utilizzato dal gruppo ScarCruft (noto anche come APT37) durante le attività di cyberspionaggio per conto del governo nordcoreano. È stato distribuito tramite alcune app pubblicate sul Play Store (già rimosse da Google).
Descrizione di NoSpy
La versione più recente di NoSpy è stata individuata a marzo 2024. Il gruppo ScarCruft è attivo dal 2012 ed esegue attacchi principalmente contro obiettivi della Corea del Sud. Lo spyware è stato trovato in cinque app sul Play Store con funzionalità quasi inutili.
All’avvio viene scaricato un file di configurazione dal Firebase Firestore che permette di attivare/disattivare lo spyware, cambiare l’indirizzo IP del server C2 (command and control) ed eseguire le funzioni di sorveglianza. NoSpy può accedere a messaggi e cronologia delle chiamate, scoprire la posizione geografica, accedere a file e directory, registrare i tasti premuti, compilare un elenco delle app installate, catturare screenshot, scattare foto e registrare audio.
Tutti i dati sono quindi inviati ai server C2 dopo aver applicato la crittografia AES. Un’app infetta era stata pubblicizzata su YouTube. Alcune erano presenti anche su APKPure. Secondo gli esperti di Lookout, ScarCruft ha utilizzato la stessa infrastruttura di un altro gruppo di cybercriminali nordcoreani, noto come Kimsuky o APT43.
Un portavoce di Google ha comunicato che tutte le app sono state rimosse dal Play Store, mentre i progetti Firebase sono stati disattivati. Gli utenti vengono automaticamente protetti contro questo malware con la funzionalità Play Protect. Al momento non è noto il numero di dispositivi infettati, ma si tratta di attacchi mirati verso determinate persone.
Ti potrebbe interessare
12 mar 2025