Investigadores de seguridad han encontrado que piratas informáticos respaldados por Corea del Norte han infectado dispositivos Android con malware con el fin de espiar a usuarios angloparlantes y de Corea del Sur.
La firma de seguridad en la nube Lookout ha etiquetado el malware como KoSpy y ha señalado que podría provenir de un grupo de amenazas persistentes avanzadas denominado ScarCruft o APT37..
KoSpy, detectado por la firma de Mountain View en Google Play y tiendas de apps de terceros presenta la capacidad de recopilar cantidades significativas de datos confidenciales que incluirían registros de llamadas, mensajes de texto, archivos, audio, capturas de pantalla y ubicación del usuario.
Este malware se ha introducido en apps fraudulentas con nombres que hacen referencia a Administrador de archivos, utilidad de actualización de software y Kakao Security (Kakao Talk es una app de mensajería bastante conocida en Corea).
¿Amenaza neutralizada?
Google asegura haber suprimido todas las apps infectadas conocidas, según afirman los investigadores.
Un portavoz de Google ha comentado que la última muestra del malware en dispositivos Android fue eliminada antes de que los usuarios procedieran a realizar instalaciones.
"Google Play Protect protege automáticamente a los usuarios de Android de las versiones conocidas de este malware en dispositivos con los Servicios de Google Play, incluso cuando las aplicaciones provienen de fuentes externas a Play", afirma el comunicado.
Desde Lookout cuentan que más de la mitad de las apps tienen títulos en coreano y su interfaz de usuario admite dos idiomas: inglés y coreano.
KoSpy tambén compartiría infraestructura con el grupo norcoreano patrocinado por el estado Kimsuky o APT43.