Distribuyen aplicaciones fraudulentas en Google Play Store para propagar el 'software' espía de origen coreano KosPy

MADRID, 12 (Portaltic/EP)
Un grupo de ciberdelincuentes conocido como APT37 y vinculado con el Gobierno de Corea del Norte cargó un 'software' espía para Android denominado KoSpy en diferentes aplicaciones fraudulentas disponibles en la tienda oficial de aplicaciones de Google Play Store.

Investigadores del Laboratorio de Amenazas de la firma de ciberseguridad Lookout han descubierto una herramienta de vigilancia que emplea aplicaciones falsas, como administradores de archivos y servicios de seguridad, para infectar dispositivos móviles.

Al iniciar estas 'apps', que disponen de interfaces básicas, se inicia el 'software' espía KoSpy, dirigido a usuarios de habla coreana e inglesa, debido a que los mensajes y campos de entrada de texto de estas aplicaciones aparecían en estos idiomas.

Los analistas de seguridad han atribuido esta campaña maliciosa al Gobierno de Corea del Norte y al grupo de APT ScarCruft (conocido como APT37). Este grupo de ciberespionaje patrocinado por el estado de Corea del Norte está activo desde 2012.

A pesar de que apunta principalmente a Corea del Sur, también ha realizado operaciones en países como Japón, Vietnam, Rusia, Nepal, China, India, Kuwait, Rumanía y varias naciones de Oriente Medio, tal y como han indicado en una publicación de su blog.

Los investigadores han indicado que el 'spyware' distribuido por este grupo en la plataforma de aplicaciones Play Store y el servicio en la nube para el desarrollo de 'apps' web y móvil Firebase comenzó a moverse en marzo de 2022. Las muestras más recientes datan de marzo del año pasado.

Asimismo, han confirmado que todas las aplicaciones falsas utilizadas como señuelos -traducidas como 'Administrador de archivos', 'Kakao Security' y 'Utilidad de actualización de software' han sido eliminadas de Google Play y que Google ha desactivado los proyectos Firebase asociados.

Desde LookOut también han señalado que todas estas aplicaciones estaban acreditadas a un desarrollador identificado como Android Utility Developer, con correo electrónico 'mlyqwl@gmail.com'. Algunos de estos servicios, incluso, se advirtieron en la tienda de aplicaciones de terceros APKPure.