A pesar de las restricciones de Google a la descarga de aplicaciones de Android en la Play Store, los hackers siguen encontrando maneras de instalar aplicaciones maliciosas que contienen software espía y de vigilancia. En esta ocasión, la empresa de ciberseguridad Lookout descubrió un grupo de aplicaciones maliciosas que utilizaban un nuevo software espía llamado KoSpy.
Lookout publicó un informe detallado sobre este software, sus mecanismos de uso y métodos de detección a través de su blog oficial. Aunque Google eliminó las aplicaciones inmediatamente después de la publicación del informe, una de ellas se descargó varias veces antes de ser eliminada. La compañía también enfatizó que estas aplicaciones estaban vinculadas a un grupo de hackers estrechamente vinculado al gobierno norcoreano.
Descubrimiento de aplicaciones maliciosas: Según el informe publicado por la compañía, las aplicaciones se hacían pasar por aplicaciones de gestión del sistema y optimización del rendimiento. Se presentaban como aplicaciones para organizar archivos, actualizar otras aplicaciones, eliminar malware y optimizar el funcionamiento del teléfono.
Más específicamente, el malware se escondía detrás de cinco tipos de aplicaciones, incluida una aplicación de gestión de teléfonos, una aplicación de gestión de archivos, una aplicación de gestión inteligente, una aplicación llamada Kakao Security y, finalmente, una aplicación para actualizar los sistemas telefónicos y otras aplicaciones.
Al descargar la aplicación, se le solicitaba al usuario una gran cantidad de permisos sospechosos, como acceder y leer mensajes de texto, historial de llamadas, archivos almacenados en el teléfono, así como escuchar sonidos ambientales, tomar capturas de pantalla, registrar constantemente la ubicación del teléfono y almacenarla en servidores controlados por el gobierno de Corea del Norte.
La compañía también señaló que las aplicaciones estaban presentes en tres tiendas de aplicaciones Android independientes, similares a Google Play Store pero con controles menos estrictos, lo que las convertía en objetivos frecuentes para los piratas informáticos.
El software KoSpy se basaba en una infraestructura que permitía un control en dos pasos. El primer paso siempre se dirigía a los servidores de Firebase, un servicio de alojamiento de aplicaciones ofrecido por Google, antes de conectarse a servidores externos controlados por el gobierno norcoreano.
Las aplicaciones que contenían este malware también tenían una página externa de uso y política de privacidad, alojada en servidores asociados con ciberataques del gobierno de Corea del Norte desde 2019. Es importante destacar que la política de privacidad de las aplicaciones declaraba explícitamente que recopilaban datos con fines comerciales y podían compartirlos con cualquier socio que consideraran apropiado, y añadía que los métodos para almacenar y compartir datos digitales no siempre eran seguros y podían ser robados en cualquier momento.
¿Quién está detrás del ataque? Lookout lo ha vinculado a dos grupos de hackers: APT37, conocido como ScarCruft, y APT43, conocido como Kimsuki. Ambos grupos están vinculados a ciberataques anteriores y tienen claros vínculos con el gobierno norcoreano, con quien han colaborado en numerosos incidentes. Si bien este ataque se dirigió a teléfonos Android, ScarCruft ya había realizado un ataque en 2019 contra ordenadores Windows con el objetivo de recopilar datos de los dispositivos conectados, mientras que Kimsuki se había vinculado a un ataque anterior en el que se utilizó una extensión de Chrome para recopilar contraseñas e información de cuentas de usuario.
La empresa logró establecer este vínculo examinando los servidores de la aplicación y rastreándolos hasta sus direcciones IP. Al comparar estas direcciones con su propia base de datos de ciberataques, confirmó los grupos responsables del malware y sus conexiones.
Ciberataques: El arma más formidable de Corea del Norte. En los últimos años, los ciberataques apoyados por el gobierno norcoreano han proliferado, atacando a numerosos sectores e individuos. Si bien el malware KoSpy se dirigió a hablantes de inglés y coreano, el gobierno ha utilizado grupos de hackers para llevar a cabo diversos ataques.
Recientemente, el grupo Lazarus participó en un ciberataque contra la plataforma de intercambio de criptomonedas ByBit, robando con éxito casi 1,5 millones de dólares en activos digitales de la plataforma. Los hackers norcoreanos también han sido vinculados a ciberataques contra hospitales, bases militares estadounidenses y la NASA. El año pasado, el FBI emitió una orden de arresto contra el responsable de estos ataques.
¿Cómo protegerse de las aplicaciones maliciosas de Android? Actualmente, estas aplicaciones son omnipresentes en diversas tiendas de aplicaciones, como Google Play Store y, a veces, la App Store de Apple, lo que dificulta confiar únicamente en los mecanismos de estas tiendas para eliminarlas.
Sin embargo, los usuarios pueden protegerse siguiendo ciertas recomendaciones. Es fundamental no instalar aplicaciones de fuentes desconocidas o no verificadas y priorizar siempre las aplicaciones populares con millones de descargas, aunque esto no garantiza la seguridad de la aplicación en muchos casos. También es importante verificar los permisos de todas las aplicaciones y asegurarse de que no accedan a datos innecesarios o confidenciales. Cualquier aplicación sospechosa, especialmente aquellas que solicitan permisos excesivos, debe eliminarse.
