Um grupo cibercriminoso da Coreia do Norte conseguiu inserir um software malicioso para infectar qualquer pessoa na Play Store. A informação foi revelada pela agência de cibersegurança Lookout, que aponta um movimento estratégico e bem segmentado por parte dos criminosos.
O relatório da companhia foi publicado nesta quarta-feira (12) e aponta um spyware chamado de KoSpy como o culpado. A agência entende que esse agente mal-intencionado foi usado para vigiar e roubar dados de certos usuários, possivelmente de cidadãos da Coreia do Sul.
Como aponta a explicação oficial da Kaspersky, um spyware não possui uma definição totalmente concisa, mas trata-se de um software destinado a coletar dados de um computador ou dispositivo secretamente. A investigação da Lookout sugere que pelo menos um desses spywares foi inserido na biblioteca da Play Store como um aplicativo de gerenciador de arquivos.
Como mostra a imagem, o software está disfarçado de um aplicativo corriqueiro para gerenciar melhor as pastas de um smartphone. O KoSpy teria sido baixo pelo menos dez vezes, de acordo com dados de cache da página oficial do software na loja do Google.
Essa não é a primeira vez que a firma de cibersegurança encontra atividades desse tipo de spyware. O KoSpy seria, na verdade, a variante de um software hacker em atividade desde 2022 e visto pela última vez em março de 2024, há cerca de um ano.
Além de utilizar o aplicativo de gerenciamento de arquivos para se disfarçar, esse tipo de software também foi encontrado sob os nomes de “Utilitário de Atualização de Software” e “Kakao Security”.
Spyware pode gravar áudios e tirar fotos do celular
Conforme informações detalhadas pelo diretor de pesquisa de inteligência de segurança da Lookout, Christoph Hebeisen, mesmo que tenha sido baixado poucas vezes, o spyware é capaz de roubar um número valioso de dados.
O KoSpy pode coletar uma “extensa quantidade de informações confidenciais”, incluindo mensagens via SMS, histórico de chamadas, dados do aparelho, arquivos do usuário, senhas, detalhes de redes sem fio, e detalhes sobre aplicativos instalados. Além disso, esse spyware também teria a capacidade de gravar áudios, realizar capturas de tela e até mesmo tirar fotos com a câmera dos smartphones.
Um dos grandes pilares para a forte preocupação dos analistas da Lookout é o fato deste software de monitoração ter ficado disponível facilmente para download na Play Store. A firma indica ainda que o KoSpy estava hospedado no Firestore, um banco de dados de nuvem SQL escalonável do Google.
Em resposta ao site TechCrunch, um representante do Google garante que os aplicativos maliciosos presentes no Firestore já foram removidos, bem como a variante do KoSpy que estava disponível para download na Play Store.
Além do marketplace oficial do Google, os pesquisadores encontraram o KoSpy na loja de aplicativos APKPure. No entanto, representantes da loja afirmaram que a Lookout não entrou em contato com eles para alertar sobre o problema.
Os analistas explicam que um dos modos de funcionamento do KoSpy consiste em enviar solicitações para endereços C2 (Comando e Controle). Uma dessas solicitações baixa plugins, enquanto a outra recupera configurações para as funções de vigilância que serão usadas para monitorar os usuários.
Ataques foram “altamente direcionados”
Além de Hebeisen, um dos pesquisadores sênior da Lookout, Alemdar Islamoglu, informa que os principais alvos do spyware seriam residentes da Coreia do Sul que falam inglês e/ou coreano. No entanto, ainda não há detalhes sobre quem são essas pessoas, ou o real motivo para o roubo de dados por meio dos aplicativos.
Mesmo assim, os pesquisadores estão convencidos de que isso se trata de uma campanha de ataques “altamente direcionada”. Uma das possibilidades é que o KoSpy seja de autoria do grupo cibercriminoso ScarCruft, também conhecido como APT37.
Essa não é a primeira vez que hackers norte-coreanos têm bastante visibilidade. O grupo Lazarus usava um jogo falso para explorar uma falha de dia zero no Google Chrome para roubar dados dos usuários. Os cibercriminosos criaram uma versão modificada do jogo de finanças DeTankZone para atrair jogadores.
Como sempre, vale ressaltar que realizar o download de aplicativos suspeitos ou com poucos downloads, mesmo em lojas confiáveis como a Play Store, não é nada recomendado. O ideal é sempre procurar softwares com boas avaliações e de desenvolvedores com boa reputação.