/https://www.html.it/app/uploads/2025/03/android-nordcorea.jpg "Android: un virus spyware Nordcoreano circola su Google Play")
Un nuovo spyware per dispositivi Android, chiamato KoSpy, è stato recentemente identificato da ricercatori di Lookout ed è stato collegato al gruppo di minacce nordcoreano APT37, noto anche come "ScarCruft". Questo malware è riuscito a infiltrarsi nei negozi di applicazioni Google Play e APKPure, attraverso almeno cinque app dannose. La campagna di spyware è attiva dal marzo 2022, con gli attori malintenzionati che continuano a sviluppare e aggiornare il malware, prendendo di mira principalmente utenti di lingua coreana e inglese.
Le app compromesse si presentano come strumenti legittimi, come gestori di file, strumenti di sicurezza e aggiornamenti software, ma in realtà nascondono il malware KoSpy che viene caricato in background. L'unica eccezione è l'app Kakao Security, che visualizza una finestra di sistema falsa mentre cerca di ottenere permessi rischiosi.
Gli esperti di sicurezza hanno attribuito questa campagna di malware a APT37 grazie all'analisi di indirizzi IP precedentemente associati a operazioni della Corea del Nord, nonché all'uso di domini e infrastrutture comuni con altre campagne legate a gruppi di minacce sponsorizzati dal regime nordcoreano.
Come lavora lo spyware
Una volta installato sul dispositivo, KoSpy si connette a un server di comando e controllo (C2) attraverso un database Firebase Firestore, eludendo i sistemi di rilevamento. Il malware esegue un controllo per assicurarsi che non venga eseguito su un emulatore e può recuperare istruzioni aggiornate dal server C2, eseguire payload aggiuntivi e persino essere attivato o disattivato dinamicamente tramite un interruttore "on/off".
Le funzionalità dannose di KoSpy sono molto invasive e includono la cattura di SMS, i registri delle chiamate, il monitoraggio della posizione GPS in tempo reale, la registrazione audio tramite il microfono, l'acquisizione di foto e video tramite la fotocamera del dispositivo, la cattura di screenshot, nonché la registrazione delle sequenze di tasti usando i servizi di accessibilità di Android.
Anche se le app compromesse sono state rimosse sia da Google Play che da APKPure, gli utenti devono disinstallarle manualmente e scansionare i loro dispositivi con app di sicurezza per eliminare eventuali residui del malware. In situazioni più gravi, si consiglia di eseguire un ripristino delle impostazioni di fabbrica per eliminare completamente l'infezione. Abilitare Google Play Protect può offrire una protezione aggiuntiva, in quanto è in grado di bloccare le app dannose già note.
/https://www.html.it/app/uploads/2025/03/WP-Ghost-.jpg)
/https://www.html.it/app/uploads/2025/03/sicurezza-480x300.webp)
/https://www.html.it/app/uploads/2025/03/WA-vulnerabilita.jpg)
/https://www.html.it/app/uploads/2025/03/dot-wa.jpg)