Detectan poderoso virus espía impulsado por Corea del Norte; viene en aplicaciones que muchos creen inofensivas

Un grupo de ciberdelincuentes conocido como APT37 y vinculado con el Gobierno de Corea del Norte cargó un ‘software’ espía para Android denominado KoSpy en diferentes aplicaciones fraudulentas disponibles en la tienda oficial de aplicaciones de Google Play Store.

Investigadores del Laboratorio de Amenazas de la firma de ciberseguridad Lookout han descubierto una herramienta de vigilancia que emplea aplicaciones falsas, como administradores de archivos y servicios de seguridad, para infectar dispositivos móviles.

Al iniciar estas ‘apps’, que disponen de interfaces básicas, se inicia el ‘software’ espía KoSpy, dirigido a usuarios de habla coreana e inglesa, debido a que los mensajes y campos de entrada de texto de estas aplicaciones aparecían en estos idiomas.

Los analistas de seguridad han atribuido esta campaña maliciosa al Gobierno de Corea del Norte y al grupo de APT ScarCruft (conocido como APT37). Este grupo de ciberespionaje patrocinado por el estado de Corea del Norte está activo desde 2012.

A pesar de que apunta principalmente a Corea del Sur, también ha realizado operaciones en países como Japón, Vietnam, Rusia, Nepal, China, India, Kuwait, Rumanía y varias naciones de Oriente Medio, tal y como han indicado en una publicación de su blog.

Los investigadores han indicado que el ‘spyware’ distribuido por este grupo en la plataforma de aplicaciones Play Store y el servicio en la nube para el desarrollo de ‘apps’ web y móvil Firebase comenzó a moverse en marzo de 2022. Las muestras más recientes datan de marzo del año pasado.

Asimismo, han confirmado que todas las aplicaciones falsas utilizadas como señuelos -traducidas como ‘Administrador de archivos’, ‘Kakao Security’ y ‘Utilidad de actualización de software’ han sido eliminadas de Google Play y que Google ha desactivado los proyectos Firebase asociados.

Desde LookOut también han señalado que todas estas aplicaciones estaban acreditadas a un desarrollador identificado como Android Utility Developer, con correo electrónico ‘mlyqwl@gmail.com’. Algunos de estos servicios, incluso, se advirtieron en la tienda de aplicaciones de terceros APKPure.

Publicidad fraudulenta en más de 180 aplicaciones

En días pasados, Google también ha eliminado un total de 180 aplicaciones de su tienda de aplicaciones, Google Play Store, como consecuencia de un “extenso y sofisticado plan de fraude publicitario”, que empleaba anuncios intrusivos para dejar los dispositivos inoperativos y que ha generado más de 56 millones de descargas.

El fraude publicitario consiste en interacciones publicitarias generadas para engañar a una red publicitaria con el fin de que interprete que el tráfico es consecuencia del interés real de los usuarios, de manera que se genera un tipo de tráfico no válido, tal y como explica Google.

Este formato opera a gran escala y degrada la experiencia de uso del teléfono y de las aplicaciones que se utilizan. Asimismo, genera mucho dinero en ingresos fraudulentos para los atacantes, tal y como ha explicado Forbes, que ha informado de la existencia de un fraude publicitario en el que se han visto implicadas decenas de ‘apps’.

Google ha confirmado que está eliminando más de 180 aplicaciones que los ciberdelincuentes habrían empleado para llevar a cabo un “extenso y sofisticado plan de fraude publicitario” y que habrían generado más de 56 millones de descargas en Google Play Store.

Estas aplicaciones fraudulentas imitan a otras legítimas y suelen ofrecer servicios de uso común, como linternas, lectores de códigos QR y horóscopos, entre otras. Así, llegan a la tienda oficial de aplicaciones de Google, eludiendo la solución de seguridad de Android Google Play Protect.

Sin embargo, una vez integradas en este servicio, los ciberdelincuentes eliminaron la funcionalidad legítima e introdujeron anuncios de vídeo intrusivos, a pantalla completa, que impedían a los usuarios cerrar la aplicación o regresar a la pantalla de inicio.