Recenti ricerche nel campo della cybersecurity hanno portato alla luce la scoperta di KoSpy, un sofisticato spyware per Android associato alla Corea del Nord, che è riuscito a infiltrarsi nel Google Play Store. Questo malware è attribuito al gruppo di hacker noto come ScarCruft (APT37) e si presenta sotto forma di applicazioni apparentemente legittime. Il suo obiettivo principale sono gli utenti coreani e anglofoni, con la capacità di rubare dati sensibili senza essere rilevato per mesi.
modalità di infezione di KoSpy
Secondo le indagini condotte dai ricercatori, KoSpy si mimetizza come un’applicazione utile sul dispositivo mobile. Sono state identificate almeno cinque varianti del malware, tra cui:
- 휴대폰 관리자 (Phone Manager)
- File Manager
- 스마트 관리자 (Smart Manager)
- 카카오 보안 (Kakao Security)
- Software Update Utility
I nomi plausibili delle app possono ingannare gli utenti inducendoli all’installazione. Una volta installato, il malware attende l’attivazione. A differenza degli spyware tradizionali, KoSpy non inizia immediatamente le sue attività di sorveglianza per evitare sospetti. I ricercatori hanno osservato che KoSpy utilizza piattaforme legittime per recuperare indirizzi Command and Control (C2) aggiornati.
funzionalità di KoSpy
Dopo l’attivazione, KoSpy ha la capacità di:
- Rubare messaggi SMS e registri delle chiamate
- Tracciare la posizione GPS in tempo reale
- Avere accesso e modificare file
- Registrare audio e scattare foto
- Catturare sequenze di tasti e screenshot
I dati rubati vengono crittografati tramite AES prima dell’invio ai server C2, rendendo più difficile l’intercettazione. Inoltre, gli aggressori possono installare nuovi plugin da remoto, ampliando le capacità spionistiche del malware senza necessità di reinfezione del dispositivo.
sistemi avanzati e preoccupazioni sulla sicurezza
KosPy si distingue per un sistema C2 più avanzato rispetto ai tradizionali malware. Invece di codificare l’indirizzo C2 direttamente nel software maligno, recupera il più recente indirizzo C2 da Firebase Firestore. Questo approccio utilizza Firebase come relay e rende difficile la rilevazione immediata del traffico malevolo da parte degli strumenti di sicurezza poiché Google possiede Firestore, facendo apparire le richieste come traffico legittimo.
Gli aggressori possono anche disattivare o riattivare lo spyware da remoto e modificare gli indirizzi C2 qualora uno venga bloccato. Ciò complica ulteriormente i tentativi di interrompere KoSpy rispetto agli spyware tradizionali. Sebbene Google abbia già rimosso queste applicazioni dannose dal suo store ufficiale, rimangono elevate preoccupazioni riguardo alla sicurezza delle app disponibili negli store ufficiali.
È sempre consigliabile scaricare applicazioni solo da fonti affidabili e verificate ed effettuare controlli regolari sulle recensioni. È fondamentale garantire che il dispositivo mobile disponga degli ultimi aggiornamenti sulla sicurezza installati.
Lascia un commento