Um grupo de hackers com vínculos com o regime norte-coreano carregou spyware para dispositivos Android na loja de aplicativos Google Play e conseguiu enganar algumas pessoas para baixá-lo, de acordo com a empresa de segurança cibernética Lookout.
Em um relatório publicado na quarta-feira, e compartilhado exclusivamente com o TechCrunch antecipadamente, a Lookout detalha uma campanha de espionagem envolvendo várias amostras diferentes de um spyware para Android, que a empresa atribui com “alta confiança” ao governo norte-coreano.
Pelo menos um dos aplicativos de spyware esteve em algum momento no Google Play e foi baixado mais de 10 vezes, de acordo com um snapshot em cache da página do aplicativo na loja oficial de aplicativos Android. A Lookout incluiu uma captura de tela da página em seu relatório.
Nos últimos anos, os hackers norte-coreanos têm ganhado manchetes, especialmente por seus ousados roubos de criptografia, como o recente roubo de cerca de US$ 1,4 bilhão em Ethereum da exchange de criptomoedas Bybit, com o objetivo de avançar no programa de armas nucleares proibidas do país. No caso desta nova campanha de spyware, no entanto, todos os sinais apontam para esta sendo uma operação de vigilância, com base na funcionalidade dos aplicativos de spyware identificados pela Lookout.
Os objetivos da campanha de spyware norte-coreana não são conhecidos, mas Christoph Hebeisen, diretor de pesquisa de inteligência de segurança da Lookout, disse ao TechCrunch que, com apenas alguns downloads, é provável que o aplicativo de spyware estivesse mirando pessoas específicas.
De acordo com a Lookout, KoSpy coleta “uma quantidade extensiva de informações sensíveis”, incluindo: mensagens de texto SMS, registros de chamadas, dados de localização do dispositivo, arquivos e pastas no dispositivo, teclas digitadas pelo usuário, detalhes da rede Wi-Fi e uma lista de aplicativos instalados.
O KoSpy também pode gravar áudio, tirar fotos com as câmeras do telefone e capturar capturas de tela da tela em uso.
A Lookout também descobriu que o KoSpy dependia do Firestore, um banco de dados na nuvem construído sobre a infraestrutura do Google Cloud para recuperar “configurações iniciais”.
O porta-voz do Google Ed Fernandez disse ao TechCrunch que a Lookout compartilhou seu relatório com a empresa e “todos os aplicativos identificados foram removidos da Play [e] os projetos do Firebase foram desativados”, incluindo o exemplo do KoSpy que estava no Google Play.
“O Google Play protege automaticamente os usuários de versões conhecidas deste malware em dispositivos Android com Google Play Services”, disse Fernandez.
O Google não comentou uma série de perguntas específicas sobre o relatório, incluindo se o Google concordava com a atribuição ao regime norte-coreano e outros detalhes sobre o relatório da Lookout.
O relatório também disse que a Lookout encontrou alguns dos aplicativos de spyware na loja de aplicativos de terceiros APKPure. Um porta-voz do APKPure disse que a empresa não recebeu “nenhum e-mail” da Lookout.
A pessoa, ou pessoas, no controle do endereço de e-mail do desenvolvedor listado na página do Google Play que hospeda o aplicativo de spyware não responderam ao pedido de comentário do TechCrunch.
O Hebeisen da Lookout, juntamente com Alemdar Islamoglu, um pesquisador sênior de inteligência de segurança, disse ao TechCrunch que embora a Lookout não tenha informações sobre quem especificamente pode ter sido alvo — hackeado, efetivamente — a empresa tem certeza de que esta foi uma campanha altamente direcionada, provavelmente visando pessoas na Coreia do Sul, que falam inglês ou coreano.
A avaliação da Lookout é baseada nos nomes dos aplicativos que encontraram, alguns dos quais estão em coreano, e que alguns dos aplicativos têm títulos em coreano e a interface do usuário suporta ambos os idiomas, de acordo com o relatório.
A Lookout também descobriu que os aplicativos de spyware usam nomes de domínio e endereços IP que foram previamente identificados como presentes em malware e infraestrutura de controle e comando usadas pelos grupos de hackers do governo norte-coreano APT37 e APT43.
“O fascinante sobre os atores de ameaça norte-coreanos é que eles são, parece, frequentemente bem-sucedidos em colocar aplicativos em lojas oficiais de aplicativos”, disse Hebeisen.
