Un rapporto di Lookout Threat Lab, pubblicato il 12 marzo scorso, ha identificato KoSpy, un nuovo spyware distribuito attraverso l’app store di Android e attribuito al gruppo nordcoreano APT37, noto anche come ScarCruft o Reaper.
Questo malware, attivo almeno dal marzo 2022 e con campioni rilevati fino a marzo 2024, rappresenta una minaccia significativa per la privacy e la sicurezza, in particolare per gli utenti di lingua coreana e inglese.
Infatti, è in grado di esfiltrare dati sensibili degli utenti, inclusi messaggi SMS, registri delle chiamate, dettagli sulla posizione, file, registrazioni audio, screenshot e sequenze di tasti.
Indice degli argomenti
KoSpy: cos’è il nuovo spyware nordcoreano
KoSpy è un Remote Access Trojan (RAT) altamente avanzato, che si distingue per una sofisticata architettura modulare e un’infrastruttura di comando e controllo (infrastruttura C2) a due fasi.
Queste caratteristiche garantiscono agli attaccanti un’elevata flessibilità operativa e capacità di evasione dei sistemi di sicurezza.
Il malware viene distribuito attraverso applicazioni fraudolente, tra cui “File Manager”, “Software Update Utility” e “Kakao Security”, che vengono mascherate da applicazioni di utility per indurre gli utenti all’installazione.
Secondo il Lookout Threat Lab queste app malevole, precedentemente disponibili per il download nel Google Play Store e in seguito rimosse, sono state individuate anche su app store di terze parti come APKPure.
Una volta installate su un dispositivo e aperte dall’utente, tali applicazioni mostrano un’interfaccia semplice e reindirizzano l’utente alle funzionalità di sistema del proprio dispositivo.
Intanto, KoSpy procede scaricando file di configurazione criptati da Firebase Firestore, il database NoSQL cloud-native sviluppato da Google.
I file di configurazione scaricati contengono sia un interruttore “on/off”, che consente all’attore di minaccia di attivare e disattivare lo spyware, sia l’indirizzo del server di comando e controllo (server C2).
Tutto ciò permette al malware di comunicare con i server degli attaccanti, consentendo l’esecuzione remota dei comandi nonché la possibilità di modificare in qualsiasi momento l’indirizzo C2 nel caso in cui esso venga rilevato o bloccato.
Spyware KoSpy: l’analisi di Lookout Threat Lab
Dopodiché, per evitare di essere rilevato e analizzato, KoSpy verifica che il dispositivo non sia un emulatore ed esegue controlli per assicurarsi che la data corrente sia successiva alla data di attivazione impostata.
Infine, lo spyware invia due richieste HTTP POST all’indirizzo C2: una finalizzata a scaricare dinamicamente plugin e l’altra mirata al recupero di configurazioni aggiuntive volte ad estendere le capacità di sorveglianza e di raccolta dei dati.
I ricercatori del Lookout Threat Lab presumono, inoltre, che la richiesta di plugin dovrebbe ricevere un file binario criptato e compresso.
Tuttavia, non ci sono evidenze che lo confermino in quanto durante l’analisi svolta dal team di ricerca non è stato riscontrato nessun indirizzo C2 attivo.
I rischi cyber dello spyware KoSpy
Grazie alla sua architettura modulare e all’infrastruttura C2 a due fasi, KoSpy rappresenta un rischio significativo per la disponibilità, l’integrità e la riservatezza dei dati. Il malware è, infatti, in grado di:
- intercettare SMS e registri delle chiamate;
- monitorare la posizione GPS del dispositivo;
- registrare audio e video e catturare schermate in tempo reale;
- accedere a file e cartelle archiviati localmente sul dispositivo;
- compilare un elenco delle app installate;
- registrare i tasti digitati attraverso una funzionalità di keylogging;
- esfiltrare dati sulla rete Wi-Fi e altre informazioni di sistema.
I dati raccolti vengono criptati attraverso una chiave crittografica AES (Advanced Encription Standard) e la successiva trasmissione ai server di comando e controllo, rendendo più arduo il rilevamento delle attività malevole.
La campagna malware
Secondo gli esperti di Lookout, la campagna di KoSpy era indirizzata ai danni di utenti di lingua coreana e inglese. Infatti, in oltre la metà delle app sono presenti titoli in lingua coreana e l’interfaccia utente supporta due lingue: inglese e coreano. Il download di alcune applicazioni contenenti KoSpy è avvenuto da Google Play Store e da ApkPure.
Per esempio, una schermata memorizzata nella cache della pagina di elenco del Play Store di Google mostra che l’applicazione File Manager è stata scaricata più di dieci volte. Ad oggi, nessuna di queste app è disponibile su Google Play Store e Google ha disattivato i progetti Firebase a esse associati.
Inoltre, la schermata riporta anche il nome dell’account dello sviluppatore, denominato “Android Utility Developer”, e l’indirizzo e-mail associato “mlyqwl@gmail.com”.
Nella pagina dell’informativa sulla privacy era indicato il seguente indirizzo: https://goldensnakeblog.blogspot.com/2023/02/privacy-policy.html. L’inserzione includeva anche un video caricato sul canale YouTube @filemanager-android2 al fine di promuovere l’applicazione.
I gruppi malevoli nord coreani
Analizzando KoSpy, i ricercatori di Lookout hanno riscontrato connessioni con precedenti attività dannose attribuite a due gruppi di minaccia nordcoreani: APT43 e APT37.
Infatti, “st0746.net”, uno dei domini C2 di KoSpy, si collega a un indirizzo IP localizzato in Corea del Sud e che in passato è già stato associato a nomi di dominio potenzialmente dannosi relativi alla Corea.
Per esempio, i nomi dei domini “naverfiles.com” e “mailcorp.center” si ritengono coinvolti in attacchi ai danni di utenti coreani utilizzando il malware Konni RAT, un trojan per Windows utilizzato da APT37.
Oltre ai legami con APT37, si rileva che la campagna KoSpy presenta anche legami con le infrastrutture utilizzate da APT43, un altro gruppo di hacking nordcoreano anche noto come Kimsuky o Thallium.
Il dominio “nidlogon.com”, associato allo stesso indirizzo IP, risulta infatti far parte dell’infrastruttura C2 di APT43.
La presenza di elementi condivisi – come infrastrutture, tattiche, tecniche e procedure – nel modus operandi degli attori di minaccia nordcoreani, rende più complesso attribuire con certezza la campagna ad un singolo attore.
Tuttavia, sulla base dell’infrastruttura condivisa, del targeting comune e della frequenza delle connessioni, Lookout Threat Lab attribuisce la campagna KoSpy ad APT37 con un livello di sicurezza medio.
Come mitigare il rischio
Per contrastare minacce come KoSpy e mitigare il rischio di compromissione, è necessario un impegno su più fronti. In primis, è fondamentale che i team di sicurezza implementino soluzioni di Mobile Threat Defense (MTD) per rilevare e bloccare le applicazioni sospette, conducano regolarmente corsi di sensibilizzazione sulla sicurezza informatica per formare i dipendenti sulle applicazioni fraudolente e impieghino il monitoraggio degli endpoint per identificare le trasmissioni di dati anomale dai dispositivi aziendali.
Inoltre, è essenziale che gli sviluppatori adottino pratiche di sviluppo di app sicure, che utilizzino la firma del codice e meccanismi di autenticazione efficaci al fine di convalidare le applicazioni legittime e che monitorino con frequenza gli app store alla ricerca di eventuali versioni fraudolente di applicazioni per le aziende.
Invece, per salvaguardare la privacy e la sicurezza delle aziende risulta indispensabile implementare un framework Zero Trust per la sicurezza dei dispositivi mobili, limitare l’installazione di app di terze parti sui dispositivi aziendali e collaborare con servizi di threat intelligence per rilevare le minacce spyware emergenti.
La campagna KoSpy evidenzia la crescente sofisticazione delle tecniche adottate da gruppi sponsorizzati dallo stato come APT37 per compromettere dispositivi Android e aggirare i sistemi di sicurezza.
L’uso di Google Play Store e Firebase Firestore per la distribuzione e il controllo dei malware dimostra la capacità del gruppo di adattarsi rapidamente ai meccanismi di rilevamento e blocco.
Per contrastare queste minacce in continua evoluzione, è fondamentale adottare policy di sicurezza rigorose e misure di sicurezza mobile proattive, tra cui il rilevamento avanzato delle minacce, la formazione dei dipendenti e una solida gestione dei dispositivi.
Solo attraverso una vigilanza costante e un impegno multisettoriale sarà possibile ridurre il rischio di compromissione e proteggere le informazioni sensibili da attacchi sempre più sofisticati.
