Un grupo de piratas informáticos vinculados al régimen norcoreano subieron software espía de Android a la tienda de aplicaciones Google Play y engañaron a algunas personas para que lo descargaran, según la firma de ciberseguridad Lookout. En un informe publicado el miércoles, Lookout detalló una campaña de espionaje que involucra múltiples muestras diferentes de software espía de Android a las que llama KoSpy y tiene "un alto grado de confianza" de que el software espía es obra del gobierno de Corea del Norte.
Al menos una aplicación de software espía apareció en Google Play y se descargó más de 10 veces, según una instantánea almacenada en caché de la página de la aplicación en la tienda oficial de aplicaciones de Android. Lookout incluyó una captura de pantalla de la página en su informe.
Los piratas informáticos norcoreanos han aparecido en los titulares en los últimos años por sus audaces robos de criptomonedas, como el reciente robo de aproximadamente 1.400 millones de dólares en Ethereum del intercambio de criptomonedas Bybit. Sin embargo, en esta nueva campaña de software espía, todos los indicios apuntan a que se trata de una operación de vigilancia basada en las capacidades de las aplicaciones de software espía identificadas por Lookout.
Los objetivos de la campaña de software espía de Corea del Norte no están claros, pero Christoph Hebeisen, director de investigación de inteligencia de seguridad de Lookout, dijo a TechCrunch que, dado que solo hubo una pequeña cantidad de descargas, la aplicación de software espía probablemente estaba dirigida a un grupo específico de personas.
Según Lookout, KoSpy recopila "una gran cantidad de información confidencial", incluidos mensajes de texto, registros de llamadas, datos de ubicación del dispositivo, archivos y carpetas en el dispositivo, pulsaciones de teclas ingresadas por el usuario, detalles de la red Wi-Fi y una lista de aplicaciones instaladas.
KoSpy también puede grabar audio, tomar fotografías con la cámara de su teléfono y tomar capturas de pantalla mientras está en uso.
Lookout también descubrió que KoSpy se basa en Firestore, una base de datos en la nube construida sobre Google Cloud Infrastructure, para recuperar "configuraciones iniciales".
El portavoz de Google, Ed Fernández, dijo que mLookout compartió su informe con la compañía y que "todas las aplicaciones confirmadas han sido eliminadas de Play y el proyecto Firebase ha sido desactivado", incluida la muestra KoSpy en Google Play. Google Play protege automáticamente los dispositivos Android de los usuarios de versiones conocidas de malware. "
Google no hizo comentarios sobre una serie de preguntas específicas sobre el informe, incluido si Google está de acuerdo con atribuirlo al régimen norcoreano y otros detalles sobre el informe Lookout.
El informe también dice que Lookout encontró algunas aplicaciones de software espía en la tienda de aplicaciones de terceros APKPure. Un portavoz de APKPure dijo que la compañía no había recibido "ningún correo electrónico" de Lookout.
Hebeisen de Lookout y el investigador senior de inteligencia de seguridad Alemdar Islamoglu dijeron que si bien Lookout no tiene ninguna información sobre quién específicamente pudo haber sido atacado (pirateado), la compañía confía en que fue una campaña altamente dirigida, siendo los objetivos probablemente personas que hablan inglés o coreano en Corea del Sur.
El informe afirma que Lookout basó su evaluación en los nombres de las aplicaciones que encontró, algunas de las cuales estaban en coreano, y que algunas aplicaciones tenían títulos en coreano e interfaces de usuario compatibles con ambos idiomas.
Lookout también descubrió que se había confirmado previamente que los nombres de dominio y las direcciones IP utilizados por estas aplicaciones de software espía estaban presentes en el malware y en la infraestructura de comando y control utilizada por los grupos de piratería del gobierno de Corea del Norte APT37 y APT43.
"Lo que es único acerca de los actores de amenazas norcoreanos es que a menudo parecen tener éxito al introducir aplicaciones en las tiendas de aplicaciones oficiales", dijo Hebeisen.