Threats
Aplicações disfarçadas de ferramentas utilitárias foram usadas para distribuir a ferramenta de vigilância através da Google Play, permitindo aceder a mensagens SMS, registo de chamadas, localização, entre outros dados
14/03/2025
A empresa de cibersegurança Lookout identificou um spyware para Android, denominado KoSpy, utilizado por um grupo de cibercriminosos norte-coreano para espiar utilizadores de língua coreana e inglesa. Em operação desde março de 2022, o malware disfarça-se de aplicações utilitárias, como gestores de ficheiros e ferramentas de segurança falsas, explorando a Google Play e o Firebase Firestore para distribuição e comunicação com os servidores de controlo. O KoSpy foi atribuído ao grupo de ciberespionagem ScarCruft, também conhecido como APT37, que opera desde 2012 e tem como principais alvos entidades na Coreia do Sul, China, Índia, Japão, Rússia e outros países da Ásia e do Médio Oriente. A ferramenta de vigilância permite capturar mensagens SMS, registos de chamadas, localização, capturas de ecrã e até gravar áudio através do microfone do dispositivo comprometido. Segundo a Lookout, algumas das aplicações KoSpy foram identificadas tanto na Google Play como na loja de aplicações de terceiros Apkpure, tendo sido posteriormente removidas da plataforma oficial da Google. A análise da empresa também sugere uma possível ligação entre o spyware e outro grupo de cibercriminosos norte-coreano, o APT43, conhecido como Kimsuky ou Thallium. Os investigadores alertam que o KoSpy recorre a técnicas avançadas para ocultar a sua presença, como a verificação do ambiente do dispositivo para evitar deteção em emuladores. Além disso, os agentes de ameaça conseguem ativar ou desativar o spyware remotamente e alterar os servidores de controlo, garantindo a persistência da campanha maliciosa. |