Gli hacker nordcoreani infiltrano malware nelle app del Play Store

La minaccia del malware nordcoreano su Android

Una recente indagine condotta dai ricercatori di sicurezza di Lookout ha portato alla luce una sofisticata campagna di spionaggio attribuita a hacker nordcoreani. Il gruppo, noto come APT37 o ScarCruft, è riuscito a infiltrare diverse applicazioni malevole all’interno del Google Play Store, mettendo a rischio la sicurezza di numerosi utenti Android.

Lo spyware KoSpy: un nuovo strumento di sorveglianza

Al centro di questa operazione di cyber-spionaggio troviamo KoSpy, un malware Android progettato per raccogliere una vasta gamma di dati sensibili dai dispositivi infetti. Le capacità di questo spyware sono preoccupanti:

• Intercettazione di SMS e registri delle chiamate
• Tracciamento GPS in tempo reale
• Accesso a file e cartelle locali
• Registrazione audio tramite microfono
• Acquisizione di foto e video
• Cattura di screenshot
• Registrazione della digitazione tramite keylogger
• Raccolta di informazioni sulle reti Wi-Fi
• Elenco delle applicazioni installate

Tutte queste informazioni vengono crittografate prima di essere inviate ai server di comando e controllo (C2) gestiti dagli attaccanti.

La tattica di infiltrazione: app apparentemente legittime

Gli hacker hanno adottato una strategia insidiosa per diffondere KoSpy, mascherando il malware all’interno di applicazioni che sembravano legittime e utili. Alcune delle app identificate includono:

• File Manager
• Phone Manager
• Smart Manager
• Software Update Utility
• Kakao Security

Queste applicazioni sono state caricate sia sul Google Play Store che su store di terze parti come APKPure, aumentando la loro diffusione e credibilità.

L’infrastruttura sofisticata dietro l’attacco

L’operazione KoSpy si distingue per la sua infrastruttura complessa e ben pianificata. Gli attaccanti hanno utilizzato Firebase Firestore, un database cloud di Google, per recuperare le configurazioni iniziali del malware. Questo approccio ha permesso loro di:

1. Mantenere un profilo basso nelle fasi iniziali dell’infezione
2. Evitare il rilevamento immediato
3. Modificare dinamicamente il comportamento del malware

Inoltre, sono stati identificati cinque progetti Firebase distinti e altrettanti server C2, evidenziando la scala e la complessità dell’operazione.

Il targeting: obiettivi mirati in Corea del Sud e oltre

L’analisi di Lookout suggerisce che la campagna KoSpy fosse mirata principalmente a utenti di lingua coreana e inglese. Diversi indizi supportano questa ipotesi:

• Più della metà delle app aveva titoli in lingua coreana
• L’interfaccia utente supportava sia l’inglese che il coreano
• La presenza di nomi di applicazioni e interfacce utente in coreano

Questi elementi indicano un focus particolare sulla Corea del Sud, ma non escludono obiettivi in altri paesi di lingua inglese.

Implicazioni per la sicurezza mobile

Questo incidente solleva serie preoccupazioni sulla sicurezza degli app store, anche quelli considerati più affidabili come Google Play. Nonostante i controlli di sicurezza implementati da Google, alcune applicazioni malevole sono riuscite a superare il processo di verifica.

La risposta di Google e le misure di sicurezza

Google ha reagito prontamente alla scoperta:

1. Rimozione di tutte le app identificate dal Play Store
2. Disattivazione dei progetti Firebase associati a KoSpy
3. Attivazione di Google Play Protect per bloccare versioni note del malware

Tuttavia, questo episodio dimostra la necessità di una vigilanza continua e di miglioramenti nei sistemi di rilevamento delle minacce.

Come proteggersi dal malware Android

Per gli utenti Android, è fondamentale adottare misure proattive per proteggere i propri dispositivi:

1. Aggiornamenti regolari: Mantenere sempre aggiornato il sistema operativo e le applicazioni.
2. Cautela nell’installazione: Evitare di scaricare app da fonti non ufficiali e verificare attentamente le recensioni e le autorizzazioni richieste.
3. Utilizzo di antivirus: Installare e mantenere aggiornato un software antivirus affidabile per Android.

4. Attenzione alle autorizzazioni: Controllare e limitare le autorizzazioni concesse alle app, negando l’accesso a funzionalità non necessarie.
5. Monitoraggio del traffico dati: Prestare attenzione a consumi anomali di dati che potrebbero indicare attività sospette.
6. Backup regolari: Effettuare backup frequenti dei dati importanti per minimizzare le perdite in caso di infezione.

7. Educazione sulla sicurezza: Informarsi sulle ultime minacce e best practice di sicurezza mobile.

Il contesto geopolitico: le attività cyber della Corea del Nord

L’attribuzione di KoSpy al gruppo APT37/ScarCruft si inserisce in un contesto più ampio di attività cyber attribuite alla Corea del Nord. Negli ultimi anni, il paese è stato associato a numerose operazioni di hacking, tra cui:

• Furti di criptovalute per finanziare il programma nucleare
• Campagne di spionaggio contro obiettivi governativi e militari
• Attacchi a infrastrutture critiche

Questa campagna dimostra l’evoluzione delle capacità cyber nordcoreane, con un focus crescente sulle piattaforme mobili e l’utilizzo di tecniche sempre più sofisticate per eludere il rilevamento.

L’incidente KoSpy evidenzia la continua evoluzione delle minacce nel panorama della sicurezza mobile. Gli attori statali come la Corea del Nord stanno investendo risorse significative nello sviluppo di strumenti di spionaggio sempre più avanzati e difficili da rilevare.

Per contrastare queste minacce, è necessario un approccio multifaceted:

1. Miglioramento dei controlli negli app store: Le piattaforme come Google Play devono continuare a rafforzare i loro processi di verifica.
2. Collaborazione internazionale: È fondamentale una maggiore cooperazione tra governi e aziende tecnologiche per contrastare le minacce cyber transnazionali.
3. Ricerca e sviluppo: Investimenti continui in tecnologie di rilevamento e prevenzione delle minacce mobili.

4. Educazione degli utenti: Programmi di sensibilizzazione per aumentare la consapevolezza sulla sicurezza mobile tra il pubblico.

In un mondo sempre più connesso e dipendente dai dispositivi mobili, la sicurezza degli smartphone e dei tablet diventa cruciale non solo per la privacy individuale, ma anche per la sicurezza nazionale. Incidenti come quello di KoSpy ci ricordano che la vigilanza e l’adozione di best practice di sicurezza devono essere una priorità costante per tutti gli utenti di dispositivi mobili.

Fonte: https://www.redhotcyber.com/post/gli-hacker-nordcoreani-impiantano-malware-nelle-app-del-playstore