Los investigadores de seguridad de Lookout han descubierto una sofisticada campaña de malware denominada KoSpy, que está específicamente dirigida a usuarios de dispositivos Android. Esta nueva amenaza, atribuida al grupo de amenazas persistentes avanzadas APT37 (también conocido como ScarCruft) de Corea del Norte, ha logrado infiltrarse tanto en Google Play como en la plataforma alternativa APKPure.

Anatomía de la campaña maliciosa

La operación KoSpy, activa desde marzo de 2022, ha conseguido distribuir cinco aplicaciones maliciosas que se hacen pasar por utilidades legítimas, incluyendo gestores de archivos, herramientas de seguridad y actualizaciones del sistema. Los objetivos principales han sido usuarios de habla coreana e inglesa, siguiendo el patrón característico de las operaciones de APT37.

Sofisticación técnica y mecanismos de infección

El malware destaca por su arquitectura modular y sus avanzadas técnicas de evasión. Las aplicaciones infectadas proporcionan la funcionalidad prometida mientras simultáneamente despliegan el código malicioso. Una característica distintiva es su capacidad para recuperar configuraciones cifradas desde Firebase Firestore, lo que dificulta significativamente su detección por los sistemas de seguridad convencionales.

Capacidades de vigilancia y exfiltración

KoSpy implementa un amplio arsenal de funciones de espionaje que incluyen:

– Sustracción de credenciales y datos personales
– Interceptación de mensajes SMS
– Monitorización de contactos y registros de llamadas
– Seguimiento de ubicación GPS
– Extracción no autorizada de archivos

Infraestructura y atribución técnica

Cada aplicación maliciosa utiliza una infraestructura independiente para la exfiltración de datos, empleando proyectos Firebase y servidores dedicados. Los datos robados se cifran mediante una clave AES estática antes de su transmisión. La vinculación con APT37 se establece mediante el análisis de coincidencias en direcciones IP y dominios previamente asociados con operaciones del grupo norcoreano.

Si bien las aplicaciones maliciosas han sido eliminadas de las tiendas oficiales, es crucial que los usuarios realicen una revisión exhaustiva de sus dispositivos. En caso de detectar una infección por KoSpy, se recomienda no solo la desinstalación de la aplicación comprometida, sino también ejecutar un análisis antivirus completo. En situaciones más graves, puede ser necesario realizar un restablecimiento de fábrica para garantizar la eliminación total del malware. La implementación de soluciones de seguridad móvil actualizadas y la descarga de aplicaciones exclusivamente de fuentes oficiales son medidas preventivas esenciales para protegerse contra amenazas similares.