Allarme KoSpy: lo spyware nordcoreano che si nasconde nelle app per smartphone
KoSpy: il nuovo spyware nordcoreano si nasconde in app innocue. Può rubare SMS, posizione e scattare foto. Collegato ai gruppi APT37 e APT43.
Una nuova minaccia informatica di origine nordcoreana si sta diffondendo silenziosamente attraverso applicazioni apparentemente innocue. Si chiama KoSpy, un sofisticato spyware individuato dai ricercatori di Lookout Threat Lab, attivo dal marzo 2022 e ancora in circolazione con nuovi campioni rilevati fino allo scorso marzo.
Come opera KoSpy: la strategia dell’inganno
Lo spyware si maschera da applicazioni di utilità come “File Manager”, “Software Update Utility” o “Kakao Security“, ed è stato distribuito sia attraverso il Google Play Store ufficiale sia tramite piattaforme di terze parti come Apkpure. Le app incriminate sono state rimosse da Google e i relativi progetti Firebase disattivati, ma il pericolo non è scongiurato.
Ciò che rende KoSpy particolarmente insidioso è la sua architettura a due fasi. Il malware recupera inizialmente una configurazione da un database cloud Firebase, che contiene un interruttore per attivare o disattivare le funzionalità malevole e l’indirizzo del server di comando e controllo (C2). Questo approccio conferisce agli aggressori flessibilità e resilienza.
Una volta installato, KoSpy verifica che il dispositivo non sia un emulatore e che la data corrente sia successiva a quella di attivazione programmata. Dopodiché, scarica plugin dinamici che gli consentono di raccogliere una quantità impressionante di dati sensibili: messaggi SMS, registri delle chiamate, posizione geografica, file memorizzati, registrazioni audio, screenshot e persino la registrazione di ciò che viene digitato sulla tastiera.
La rete di spionaggio nordcoreana: connessioni pericolose
Secondo gli esperti, KoSpy è associato al famigerato gruppo di hackers nordcoreani APT37, noto anche come ScarCruft, attivo dal 2012 e specializzato in operazioni di spionaggio informatico principalmente contro la Corea del Sud.
Le prove raccolte suggeriscono che la campagna prende di mira principalmente utenti di lingua coreana e inglese. L’interfaccia supporta entrambe le lingue, adattandosi automaticamente alle impostazioni del dispositivo.
Particolarmente preoccupante è la scoperta di connessioni infrastrutturali con un altro gruppo nordcoreano, APT43 (noto anche come Kimsuky o Thallium). Uno dei domini C2 di KoSpy, st0746[.]net, è collegato a indirizzi IP precedentemente associati ad attacchi con il malware Konni, un RAT per Windows legato ad APT37, e a infrastrutture utilizzate da APT43.
Questa sovrapposizione di infrastrutture, obiettivi e tattiche tra diversi gruppi nordcoreani complica l’attribuzione precisa, ma conferma il crescente impegno di Pyongyang nelle operazioni di cyber-spionaggio internazionale.
