Spyware di hackers nordcoreani su Google Play

Avatar Luca Arnaldi

WRITTEN BY

POSTED

COMMENTS

0 Comments

Recenti ricerche nel campo della cybersecurity hanno portato alla luce la scoperta di KoSpy, un sofisticato spyware per Android associato alla Corea del Nord, che è riuscito a infiltrarsi nel Google Play Store. Questo malware è attribuito al gruppo di hacker noto come ScarCruft (APT37) e si presenta sotto forma di applicazioni apparentemente legittime. Il suo obiettivo principale sono gli utenti coreani e anglofoni, con la capacità di rubare dati sensibili senza essere rilevato per mesi.

modalità di infezione di KoSpy

Secondo le indagini condotte dai ricercatori, KoSpy si mimetizza come un’applicazione utile sul dispositivo mobile. Sono state identificate almeno cinque varianti del malware, tra cui:

  • 휴대폰 관리자 (Phone Manager)
  • File Manager
  • 스마트 관리자 (Smart Manager)
  • 카카오 보안 (Kakao Security)
  • Software Update Utility

I nomi plausibili delle app possono ingannare gli utenti inducendoli all’installazione. Una volta installato, il malware attende l’attivazione. A differenza degli spyware tradizionali, KoSpy non inizia immediatamente le sue attività di sorveglianza per evitare sospetti. I ricercatori hanno osservato che KoSpy utilizza piattaforme legittime per recuperare indirizzi Command and Control (C2) aggiornati.

funzionalità di KoSpy

Dopo l’attivazione, KoSpy ha la capacità di:

  • Rubare messaggi SMS e registri delle chiamate
  • Tracciare la posizione GPS in tempo reale
  • Avere accesso e modificare file
  • Registrare audio e scattare foto
  • Catturare sequenze di tasti e screenshot

I dati rubati vengono crittografati tramite AES prima dell’invio ai server C2, rendendo più difficile l’intercettazione. Inoltre, gli aggressori possono installare nuovi plugin da remoto, ampliando le capacità spionistiche del malware senza necessità di reinfezione del dispositivo.

sistemi avanzati e preoccupazioni sulla sicurezza

KosPy si distingue per un sistema C2 più avanzato rispetto ai tradizionali malware. Invece di codificare l’indirizzo C2 direttamente nel software maligno, recupera il più recente indirizzo C2 da Firebase Firestore. Questo approccio utilizza Firebase come relay e rende difficile la rilevazione immediata del traffico malevolo da parte degli strumenti di sicurezza poiché Google possiede Firestore, facendo apparire le richieste come traffico legittimo.

Gli aggressori possono anche disattivare o riattivare lo spyware da remoto e modificare gli indirizzi C2 qualora uno venga bloccato. Ciò complica ulteriormente i tentativi di interrompere KoSpy rispetto agli spyware tradizionali. Sebbene Google abbia già rimosso queste applicazioni dannose dal suo store ufficiale, rimangono elevate preoccupazioni riguardo alla sicurezza delle app disponibili negli store ufficiali.

È sempre consigliabile scaricare applicazioni solo da fonti affidabili e verificate ed effettuare controlli regolari sulle recensioni. È fondamentale garantire che il dispositivo mobile disponga degli ultimi aggiornamenti sulla sicurezza installati.

Print

Continue reading

NEXT

Nuova interfaccia google per rispondere alle chiamate su pixel e android

Il design dell’interfaccia per le chiamate in arrivo nell’app Google Phone per dispositivi Pixel e Android è attualmente oggetto di aggiornamenti. Recentemente, è emersa una nuova interfaccia utente (UI) che potrebbe migliorare l’esperienza degli utenti durante la gestione delle chiamate. […]
PREVIOUS

One ui 7.0 beta disponibile per galaxy s23

Recentemente, Samsung ha fornito dettagli ufficiali riguardo al lancio di One UI 7. L’azienda ha confermato l’inizio della distribuzione stabile e i dispositivi che potranno accedere alla versione beta. Secondo quanto comunicato, la serie Galaxy S23, la serie Galaxy Tab […]

Potrebbero interessarti

Commenti

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

I più popolari

Di tendenza