Um grupo de hackers supostamente ligado ao governo norte-coreano colocou vários aplicativos maliciosos para Android no Google Play e enganou alguns usuários da plataforma para instalar o software infectado. Isso foi relatado pela empresa de segurança cibernética Lookout.
Fonte da imagem: lookout.com
A campanha incluiu diversas amostras do malware KoSpy; Pelo menos um dos aplicativos infectados foi baixado mais de dez vezes, de acordo com uma captura de tela da loja Google Play. Os hackers norte-coreanos costumam usar suas habilidades para roubar dinheiro, dizem especialistas, mas neste caso o objetivo deles é coletar dados: o KoSpy é um aplicativo espião. Ele coleta “uma enorme quantidade de informações confidenciais”, incluindo mensagens SMS, registros de chamadas, dados de localização do dispositivo, arquivos no dispositivo, entradas de teclado, informações de rede Wi-Fi e listas de aplicativos instalados. O KoSpy grava sons, tira fotos com câmeras e faz capturas de tela. Para obter as “configurações iniciais”, foi utilizado o banco de dados em nuvem Firestore na infraestrutura do Google Cloud.
A Lookout relatou suas descobertas ao Google, após o que os projetos do Firebase foram desativados, os aplicativos KoSpy foram removidos e o próprio malware foi adicionado ao sistema de detecção automática. Especialistas da Lookout encontraram alguns aplicativos KoSpy na loja de aplicativos alternativa APKPure, mas sua administração não confirmou o fato de que especialistas em segurança cibernética os contataram. As vítimas pretendidas da campanha são pessoas da Coreia do Sul. Alguns dos aplicativos infectados encontrados tinham nomes coreanos e interfaces em coreano e inglês. Foi descoberto que o código dos aplicativos continha referências a nomes de domínio e endereços IP anteriormente associados a outras campanhas maliciosas atribuídas a hackers norte-coreanos.