CONTATTACI

Spyware nordcoreano negli store Android: minacciata la privacy degli utenti

Applicazioni dannose, camuffate da strumenti di utilità per ingannare gli utenti e indurli all’installazione, sono state individuate non solo nel Google Play Store, da cui sono state successivamente rimosse, ma anche in store di terze parti. Il nuovo spyware, denominato KoSpy, è stato attribuito al gruppo nordcoreano APT37.

 

KoSpy: una minaccia alla sicurezza degli utenti Android

Un’indagine condotta dal Lookout Threat Lab, pubblicata il 12 marzo scorso, ha rivelato l’esistenza di KoSpy, un pericoloso spyware veicolato tramite l’ecosistema Android e associato al gruppo APT37, noto anche come ScarCruft o Reaper.

Attivo almeno dal marzo 2022, con nuovi campioni rilevati fino al 2024, questo malware rappresenta una seria minaccia per la sicurezza e la riservatezza dei dati, prendendo di mira in particolare utenti di lingua coreana e inglese. KoSpy è in grado di sottrarre informazioni sensibili come SMS, cronologia delle chiamate, dati sulla posizione, file memorizzati, registrazioni audio, screenshot e sequenze di tasti digitate.

 

Le caratteristiche del malware

KoSpy è un Remote Access Trojan (RAT) avanzato, caratterizzato da un’architettura modulare sofisticata e da un’infrastruttura di comando e controllo (C2) suddivisa in due fasi. Queste peculiarità garantiscono agli hacker un’elevata capacità di operare furtivamente ed eludere i sistemi di sicurezza.

Il malware viene distribuito attraverso app fraudolente, tra cui “File Manager”, “Software Update Utility” e “Kakao Security”, che si spacciano per applicazioni legittime al fine di convincere gli utenti a scaricarle. Secondo gli esperti di Lookout, queste app, inizialmente disponibili su Google Play Store e successivamente eliminate, continuano a essere reperibili su piattaforme alternative come APKPure.

Una volta installate, le applicazioni mostrano un’interfaccia apparentemente innocua, reindirizzando l’utente alle funzioni di sistema del dispositivo. Nel frattempo, KoSpy scarica file di configurazione criptati da Firebase Firestore, il database cloud-native di Google. Questi file contengono un interruttore di attivazione “on/off”, che consente ai cybercriminali di controllare lo spyware, e l’indirizzo del server C2. Questa configurazione permette al malware di ricevere comandi da remoto e di modificare dinamicamente l’indirizzo del server in caso di individuazione o blocco.

 

L’analisi degli esperti

Grazie alla sua struttura modulare e all’infrastruttura C2 a doppio livello, KoSpy compromette la sicurezza dei dispositivi Android, mettendo a rischio la confidenzialità, l’integrità e la disponibilità dei dati. Il malware può:

  • intercettare SMS e registri delle chiamate;
  • monitorare la posizione GPS del dispositivo;
  • registrare audio e video, oltre a catturare schermate in tempo reale;
  • accedere a file e documenti memorizzati sul dispositivo;
  • raccogliere un elenco delle applicazioni installate;
  • registrare le digitazioni tramite keylogging;
  • esfiltrare informazioni relative alla rete Wi-Fi e ad altri dettagli di sistema.

I dati sottratti vengono criptati utilizzando l’algoritmo AES (Advanced Encryption Standard) prima di essere inviati ai server di comando e controllo, rendendo più difficile il rilevamento delle attività illecite.

 

Come difendersi dalla minaccia

L’attacco di KoSpy evidenzia l’evoluzione delle tecniche impiegate da gruppi statali come APT37 per colpire dispositivi Android e bypassare i meccanismi di sicurezza. L’uso di Google Play Store e Firebase Firestore per distribuire e gestire il malware dimostra l’adattabilità degli attaccanti ai sistemi di rilevamento e blocco.

Per proteggersi da queste minacce sempre più sofisticate, è fondamentale implementare misure di sicurezza efficaci, tra cui:

  • il monitoraggio avanzato delle minacce;
  • la formazione degli utenti per riconoscere app malevole;
  • la gestione sicura dei dispositivi aziendali.

Adottare un approccio proattivo alla sicurezza mobile è essenziale per contrastare attacchi come quello di KoSpy e proteggere i dati personali e aziendali da compromissioni.

 

Condividi

PrecedentePrecedenteRicerca Usercentrics: per due aziende italiane su tre, la conformità alla privacy è un’illusione
SuccessivoCompet-e ottiene una nuova competenza: certificazione Lead Auditor ISO/IEC 42001Successivo

I nostri clienti

Compet-e srl

A TESISQUARE® Ecosystem Company

Facebook Linkedin

CF – PIVA: 02760970042

Tel: 0172 38 27 63 – Fax: 0172 18 32 072

info@compet-e.it – compet-e@pec.it

Codice fatturazione: USAL8PV

SEDE DI BRA 

Via Don Luigi Orione, 202/G
12042 – BRA Fraz. Bandito (CN)

SEDE DI ROMA

Via Cristoforo Colombo, 149
00147 – ROMA (RM)

Resta sempre aggiornato!

Iscriviti alla nostra newsletter per essere sempre aggiornato sulle novità e le ultime notizie in ambito di compliance, privacy e sicurezza.

Ti invieremo solo notizie interessanti e pertinenti, nessuno spam!

Centro privacy e compliance.

Informative
Privacy Policy & Cookie
Informativa clienti
Informativa fornitori
DPA – Data processing Agreement
Politiche

Politica per la protezione dei dati personali
Politica sistema di gestione integrato

Diritti degli interessati
Esercizio dei diritti degli interessati
Matomo
Ci trovi sul Marketplace ACN
Catalogo dei servizi Cloud qualificati per la PA

ACN Cloud Marketplace

Prassi di Riferimento
UNI/PdR 43:2018

logo-dasa-raegister

ISO/IEC 27001:2022
IIS-0223-01

UNI EN ISO 9001:2015
IQ-0423-02

© 2023 COMPET-E SRLinfo@compet-e.itCompet-e Srl – Via Don Luigi Orione 202/G, 12042 Bra fraz. Bandito (CN) – PIVA/CF 02760970042