Ataque cibernético na Play Store
13 de Março de 2025

Um grupo de cibercriminosos originários da Coreia do Norte conseguiu implantar um malware na Play Store, afetando usuários desavisados.

A revelação veio da agência de cibersegurança Lookout, que destacou a estratégia cuidadosamente elaborada pelos criminosos.

De acordo com um relatório publicado pela empresa na última quarta-feira (12), um spyware conhecido como KoSpy é o responsável pela ameaça.

A agência acredita que o KoSpy foi empregado para espionar e furtar dados de usuários específicos, possivelmente mirando cidadãos sul-coreanos.

Segundo a definição fornecida pela Kaspersky, um spyware pode não ter uma descrição totalmente precisa, mas, em essência, trata-se de um software projetado para coletar informações de um computador ou dispositivo de forma oculta.

A investigação da Lookout indica que pelo menos um desses spywares encontrou caminho na biblioteca da Play Store, disfarçado como um aplicativo de gerenciamento de arquivos.

Aparentemente inócuo, o aplicativo de gerenciamento de arquivos esconde o nefasto KoSpy, que foi baixado pelo menos dez vezes, conforme dados disponíveis na página do software na loja do Google.

Este não é o primeiro incidente envolvendo spywares desse tipo descoberto pela Lookout.

Segundo relatos, o KoSpy é apenas uma variação de um malware que está ativo desde 2022 e foi identificado pela última vez em março de 2024, aproximadamente um ano atrás.

O spyware, disfarçado sob nomes como “Utilitário de Atualização de Software” e “Kakao Security”, além do já mencionado app de gerenciamento, é capaz de extrair uma vasta gama de dados confidenciais.

Conforme detalhes fornecidos por Christoph Hebeisen, diretor de pesquisa de inteligência de segurança da Lookout, o spyware tem a capacidade de acessar mensagens SMS, históricos de chamadas, dados do dispositivo, arquivos do usuário, senhas, informações de redes Wi-Fi e detalhes de aplicativos instalados.

Além disso, pode gravar áudios, realizar capturas de tela e até tirar fotos com a câmera do smartphone.

A facilidade com que esse software de monitoramento estava disponível para download na Play Store causa grande preocupação para os analistas da Lookout.

Eles também revelam que o KoSpy estava armazenado no Firestore, um scalable cloud SQL database do Google.

Em resposta ao TechCrunch, um porta-voz do Google assegurou que os aplicativos maliciosos encontrados no Firestore, assim como a variante do KoSpy na Play Store, foram removidos.

Pesquisadores também localizaram o KoSpy na loja de aplicativos APKPure.

Contudo, representantes da APKPure indicaram que não foram informados pela Lookout sobre o problema.

Os analistas explicam que o KoSpy opera por meio de solicitações a servidores C2 (Comando e Controle), uma para baixar plugins e outra para recuperar configurações das funções de vigilância destinadas a monitorar os usuários.

Os ataques parecem ser "altamente direcionados", visando especificamente residentes da Coreia do Sul que falam inglês e/ou coreano, embora ainda não estejam claros os detalhes sobre as vítimas ou os motivos exatos para o roubo de dados.

Suspeita-se que o spyware seja obra do grupo cibercriminoso ScarCruft, também conhecido como APT37.

Destaca-se também a atividade do grupo hacker Lazarus, que utilizou um jogo falso para explorar uma vulnerabilidade (zero-day) no Google Chrome e roubar dados dos usuários.

É crucial evitar o download de aplicativos suspeitos ou pouco conhecidos, mesmo em lojas confiáveis como a Play Store.

A recomendação é sempre optar por softwares bem avaliados e de desenvolvedores reconhecidos.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...