Recientemente, un grupo de expertos en seguridad ha hecho un descubrimiento alarmante: múltiples aplicaciones para Android, algunas de las cuales lograron colarse en Google Play tras pasar el filtro de seguridad de la plataforma, están diseñadas para robar información sensible de los usuarios y enviarla a espías del gobierno norcoreano. Este malware, denominado KoSpy por Lookout, la firma que lo identificó, se presenta como herramientas de utilidad, como gestores de archivos, actualizadores de aplicaciones o sistemas de seguridad, pero en realidad tiene un propósito mucho más siniestro.
¿Qué hace este malware? Las aplicaciones infectadas son capaces de recopilar una amplia gama de datos, desde mensajes SMS y registros de llamadas hasta la ubicación geográfica, archivos almacenados en el dispositivo, audio cercano y capturas de pantalla. Una vez recolectada esta información, se envía a servidores controlados por el régimen norcoreano. El objetivo principal parece ser tanto a hablantes de inglés como de coreano, y su presencia se ha detectado en al menos dos tiendas de aplicaciones, incluyendo Google Play.
Precaución antes de instalar
El spyware se disfraza de cinco aplicaciones diferentes. Aunque estas fueron removidas de Google Play tras la detección del problema, también se habían distribuido a través de Apkpure, un mercado de aplicaciones de terceros. La imagen asociada a una de estas aplicaciones revela que se utilizaba una dirección de correo electrónico aparentemente inocente y una política de privacidad que, irónicamente, enfatizaba la importancia de proteger la información personal.
«Valoro su confianza en proporcionarnos su Información Personal, por lo que nos esforzamos por utilizar medios comercialmente aceptables para protegerla», se puede leer en la política de privacidad. Sin embargo, el texto también advierte que ningún método de transmisión o almacenamiento es completamente seguro, lo que sugiere una falta de garantías para los usuarios.
A pesar de que la página de privacidad no mostraba señales de malicia en Virus Total, las direcciones IP que albergaban los servidores de comando y control ya habían estado vinculadas a operaciones de espionaje norcoreano desde 2019. Lo más inquietante es que, incluso fuera de Google Play, las aplicaciones dependían de una infraestructura de comando y control en dos etapas que recuperaba configuraciones de una base de datos en Firebase, un servicio de desarrollo web de Google. Posteriormente, Google eliminó tanto las aplicaciones como la base de datos comprometida.
Durante un análisis de KoSpy, los investigadores observaron que este malware puede recolectar una vasta cantidad de información sensible gracias a plugins que se cargan dinámicamente. Los datos recopilados son enviados a los servidores de C2 tras ser encriptados con una clave AES fija. Los expertos de Lookout notaron la existencia de cinco proyectos diferentes en Firebase y cinco servidores de C2 durante el análisis.
Un representante de Google no pudo proporcionar detalles específicos sobre cuántas de las aplicaciones KoSpy estuvieron disponibles en Play o cuánto tiempo estuvieron activas. Sin embargo, confirmó que la muestra más reciente de la aplicación fue eliminada antes de recibir descargas. A pesar de esto, Google Play Protect puede detectar algunas aplicaciones maliciosas, incluso si provienen de fuentes externas a la tienda.
Los expertos de Lookout han expresado una confianza moderada en que los grupos de espionaje norcoreanos conocidos como APT37 (ScarCruft) y APT43 (Kimsuki) están detrás de estas aplicaciones maliciosas. Por lo tanto, es recomendable que los usuarios de Android piensen detenidamente en cada aplicación antes de proceder a su instalación. Muchas aplicaciones no presentan ningún beneficio real, como fue el caso de las detectadas por Lookout. En muchas situaciones, un navegador móvil estándar puede realizar las mismas funciones sin los riesgos asociados a estas aplicaciones espías, lo que hace aún más esencial que los usuarios permanezcan alerta y revisen cualquier indicio de compromiso en sus dispositivos.