Un grupo de ciberdelincuentes con presuntos vínculos con el gobierno de Corea del Norte logró introducir software espía en la tienda de aplicaciones Google Play y engañar a algunos usuarios para que lo descargaran. Está situación fue alertada por un informe de la firma de ciberseguridad Lookout, publicado el miércoles 12 de marzo y compartido previamente con TechCrunch.
El informe detalla que la campaña de espionaje utilizó diversas muestras de un malware para Android llamado KoSpy, el cual Lookout aseguró que tiene una "alta confianza" con actores estatales norcoreanos. Al menos una de las aplicaciones infectadas estuvo disponible en Google Play. Además, llegó a descargarse más de diez veces, de acuerdo con una captura de pantalla almacenada en caché de la tienda de aplicaciones. Lookout incluyó esta evidencia en su informe.
Una estrategia de espionaje sofisticada
KoSpy tenía la capacidad de recopilar información sensible de los dispositivos afectados, incluyendo registros de llamadas, mensajes SMS, datos de ubicación, pulsaciones de teclas y detalles de la red Wi-Fi. También podía grabar audio, tomar fotografías y hacer capturas de pantalla del dispositivo comprometido.
Los investigadores de Lookout descubrieron que KoSpy dependía de Firestore, una base de datos en la nube basada en la infraestructura de Google Cloud, para recuperar configuraciones iniciales. Christoph Hebeisen, director de investigación de inteligencia de seguridad en Lookout, explicó a TechCrunch que "con solo unas pocas descargas, la aplicación de spyware probablemente estaba dirigida a personas específicas". El informe sugiere que la campaña estaba orientada principalmente a usuarios en Corea del Sur que hablan inglés o coreano, basándose en los nombres de las aplicaciones detectadas y en la interfaz de usuario, la cual admitía ambos idiomas.
Google eliminó las aplicaciones afectadas
Un portavoz de Google, Ed Fernández, confirmó que Lookout compartió su informe con la empresa y "todas las aplicaciones identificadas fueron eliminadas de Play y los proyectos de Firebase fueron desactivados". Añadió que "Google Play protege automáticamente a los usuarios de las versiones conocidas de este malware en los dispositivos Android con Google Play Services".
Según el informe, Lookout encontró versiones de las aplicaciones espías en la tienda de terceros, APKPure. Sin embargo, un portavoz de APKPure declaró que la empresa no recibió ninguna notificación de Lookout respecto al problema.
Durante los últimos años, los hackers norcoreanos fueron responsables de ataques cibernéticos significativos, incluidos robos masivos de criptomonedas. Entre estos incidentes, destaca el reciente robo de aproximadamente 1.400 millones de dólares en Ethereum de la plataforma Bybit, presuntamente destinado a financiar el programa de armas nucleares del país.
"Lo fascinante de los actores de amenazas norcoreanos es que, al parecer, con bastante frecuencia logran introducir aplicaciones en las tiendas de aplicaciones oficiales", afirmó Hebeisen.
En el caso de KoSpy, la evidencia sugiere que el objetivo era la vigilancia de personas específicas en lugar de una operación de robo financiero. Lookout identificó que las aplicaciones de spyware utilizaban nombres de dominio y direcciones IP previamente vinculadas con infraestructuras de APT37 y APT43. Estos son grupos de piratería los cuales fueron asociados con el gobierno norcoreano. (Notipress)
