Um grupo de cibercriminosos originários da Coreia do Norte conseguiu implantar um malware na Play Store, afetando usuários desavisados.
A revelação veio da agência de cibersegurança Lookout, que destacou a estratégia cuidadosamente elaborada pelos criminosos.
De acordo com um relatório publicado pela empresa na última quarta-feira (12), um spyware conhecido como KoSpy é o responsável pela ameaça.
A agência acredita que o KoSpy foi empregado para espionar e furtar dados de usuários específicos, possivelmente mirando cidadãos sul-coreanos.
Segundo a definição fornecida pela Kaspersky, um spyware pode não ter uma descrição totalmente precisa, mas, em essência, trata-se de um software projetado para coletar informações de um computador ou dispositivo de forma oculta.
A investigação da Lookout indica que pelo menos um desses spywares encontrou caminho na biblioteca da Play Store, disfarçado como um aplicativo de gerenciamento de arquivos.
Aparentemente inócuo, o aplicativo de gerenciamento de arquivos esconde o nefasto KoSpy, que foi baixado pelo menos dez vezes, conforme dados disponíveis na página do software na loja do Google.
Este não é o primeiro incidente envolvendo spywares desse tipo descoberto pela Lookout.
Segundo relatos, o KoSpy é apenas uma variação de um malware que está ativo desde 2022 e foi identificado pela última vez em março de 2024, aproximadamente um ano atrás.
O spyware, disfarçado sob nomes como “Utilitário de Atualização de Software” e “Kakao Security”, além do já mencionado app de gerenciamento, é capaz de extrair uma vasta gama de dados confidenciais.
Conforme detalhes fornecidos por Christoph Hebeisen, diretor de pesquisa de inteligência de segurança da Lookout, o spyware tem a capacidade de acessar mensagens SMS, históricos de chamadas, dados do dispositivo, arquivos do usuário, senhas, informações de redes Wi-Fi e detalhes de aplicativos instalados.
Além disso, pode gravar áudios, realizar capturas de tela e até tirar fotos com a câmera do smartphone.
A facilidade com que esse software de monitoramento estava disponível para download na Play Store causa grande preocupação para os analistas da Lookout.
Eles também revelam que o KoSpy estava armazenado no Firestore, um scalable cloud SQL database do Google.
Em resposta ao TechCrunch, um porta-voz do Google assegurou que os aplicativos maliciosos encontrados no Firestore, assim como a variante do KoSpy na Play Store, foram removidos.
Pesquisadores também localizaram o KoSpy na loja de aplicativos APKPure.
Contudo, representantes da APKPure indicaram que não foram informados pela Lookout sobre o problema.
Os analistas explicam que o KoSpy opera por meio de solicitações a servidores C2 (Comando e Controle), uma para baixar plugins e outra para recuperar configurações das funções de vigilância destinadas a monitorar os usuários.
Os ataques parecem ser "altamente direcionados", visando especificamente residentes da Coreia do Sul que falam inglês e/ou coreano, embora ainda não estejam claros os detalhes sobre as vítimas ou os motivos exatos para o roubo de dados.
Suspeita-se que o spyware seja obra do grupo cibercriminoso ScarCruft, também conhecido como APT37.
Destaca-se também a atividade do grupo hacker Lazarus, que utilizou um jogo falso para explorar uma vulnerabilidade (zero-day) no Google Chrome e roubar dados dos usuários.
É crucial evitar o download de aplicativos suspeitos ou pouco conhecidos, mesmo em lojas confiáveis como a Play Store.
A recomendação é sempre optar por softwares bem avaliados e de desenvolvedores reconhecidos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...