Um grupo de hackers com ligações ao regime norte-coreano carregou spyware para Android na loja de aplicativos Google Play e conseguiu enganar algumas pessoas para fazer o download, de acordo com a empresa de segurança cibernética Lookout. Em um relatório publicado na quarta-feira, e compartilhado exclusivamente com o TechCrunch antecipadamente, a Lookout detalha uma campanha de espionagem envolvendo várias amostras diferentes de um spyware para Android chamado KoSpy, o qual a empresa atribui com “alta confiança” ao governo norte-coreano.
Pelo menos um dos aplicativos de spyware esteve em algum momento no Google Play e foi baixado mais de 10 vezes, de acordo com uma captura de tela em cache da página do aplicativo na loja oficial de aplicativos do Android. A Lookout incluiu uma captura de tela da página em seu relatório. Nos últimos anos, hackers norte-coreanos têm feito manchetes, especialmente por seus ousados roubos cripto, como o recente roubo de cerca de US$ 1,4 bilhão em Ethereum da bolsa de criptomoedas Bybit, com o objetivo de avançar o programa de armas nucleares proibido do país. No caso dessa nova campanha de spyware, no entanto, todas as evidências apontam para esta sendo uma operação de vigilância, com base na funcionalidade dos aplicativos de spyware identificados pela Lookout.
As metas da campanha de spyware norte-coreana não são conhecidas, mas Christoph Hebeisen, diretor de pesquisa de inteligência de segurança da Lookout, disse ao TechCrunch que, com apenas alguns downloads, o aplicativo de spyware provavelmente estava mirando pessoas específicas. Segundo a Lookout, o KoSpy coleta “uma quantidade extensiva de informações sensíveis,” incluindo: mensagens de texto SMS, registros de chamadas, dados de localização do dispositivo, arquivos e pastas no dispositivo, toques de tecla inseridos pelo usuário, detalhes da rede Wi-Fi e uma lista de aplicativos instalados. O KoSpy também pode gravar áudio, tirar fotos com as câmeras do telefone e capturar imagens da tela em uso.
Além disso, a Lookout também descobriu que o KoSpy dependia do Firestore, um banco de dados em nuvem construído na infraestrutura de nuvem do Google para obter “configurações iniciais”. Um porta-voz do Google disse ao TechCrunch que a Lookout compartilhou seu relatório com a empresa, e “todos os aplicativos identificados foram removidos do Play [e] projetos Firebase desativados,” incluindo a amostra KoSpy que estava no Google Play. O Google não comentou sobre uma série de perguntas específicas sobre o relatório, incluindo se o Google concordou com a atribuição ao regime norte-coreano, e outros detalhes do relatório da Lookout.
O relatório da Lookout também revelou que alguns dos aplicativos de spyware foram encontrados na loja de aplicativos de terceiros APKPure. Um porta-voz da APKPure disse que a empresa não recebeu “nenhum e-mail” da Lookout. A pessoa, ou pessoas, no controle do endereço de e-mail do desenvolvedor listado na página do Google Play que hospedava o aplicativo de spyware não respondeu ao pedido de comentário do TechCrunch.
Hebeisen, da Lookout, juntamente com Alemdar Islamoglu, pesquisador sênior de inteligência de segurança da equipe, disse ao TechCrunch que, embora a Lookout não tenha informações sobre quem especificamente pode ter sido alvo – hackeado, efetivamente -, a empresa está confiante de que essa foi uma campanha altamente direcionada, provavelmente mirando pessoas na Coreia do Sul, que falam inglês ou coreano. A avaliação da Lookout é baseada nos nomes dos aplicativos que encontraram, alguns dos quais estão em coreano, e que alguns dos aplicativos têm títulos em coreano e a interface do usuário suporta ambos os idiomas, de acordo com o relatório. A Lookout também descobriu que os aplicativos de spyware usam nomes de domínio e endereços IP que foram identificados anteriormente como presentes em malwares e infraestrutura de comando e controle usadas por grupos de hackers do governo norte-coreano APT37 e APT43. “O que é fascinante sobre os atores de ameaça norte-coreanos é que eles são, aparentemente, frequentemente bem-sucedidos em colocar aplicativos nas lojas oficiais de aplicativos,” disse Hebeisen.
English
Leave a Reply