Grupo norte-coreano distribui spyware para Android via Google Play

A empresa de cibersegurança Lookout identificou um spyware para Android, denominado KoSpy, utilizado por um grupo de cibercriminosos norte-coreano para espiar utilizadores de língua coreana e inglesa.

Em operação desde março de 2022, o malware disfarça-se de aplicações utilitárias, como gestores de ficheiros e ferramentas de segurança falsas, explorando a Google Play e o Firebase Firestore para distribuição e comunicação com os servidores de controlo.

O KoSpy foi atribuído ao grupo de ciberespionagem ScarCruft, também conhecido como APT37, que opera desde 2012 e tem como principais alvos entidades na Coreia do Sul, China, Índia, Japão, Rússia e outros países da Ásia e do Médio Oriente. A ferramenta de vigilância permite capturar mensagens SMS, registos de chamadas, localização, capturas de ecrã e até gravar áudio através do microfone do dispositivo comprometido.

Segundo a Lookout, algumas das aplicações KoSpy foram identificadas tanto na Google Play como na loja de aplicações de terceiros Apkpure, tendo sido posteriormente removidas da plataforma oficial da Google. A análise da empresa também sugere uma possível ligação entre o spyware e outro grupo de cibercriminosos norte-coreano, o APT43, conhecido como Kimsuky ou Thallium.

Os investigadores alertam que o KoSpy recorre a técnicas avançadas para ocultar a sua presença, como a verificação do ambiente do dispositivo para evitar deteção em emuladores. Além disso, os agentes de ameaça conseguem ativar ou desativar o spyware remotamente e alterar os servidores de controlo, garantindo a persistência da campanha maliciosa.