Aplicativos Android infectados com spyware norte-coreano são encontrados no Google Play

Pesquisadores identificaram diversos aplicativos Android, alguns dos quais estavam disponíveis no Google Play após passarem pela verificação de segurança da plataforma, que secretamente transmitiam informações sigilosas de usuários para agentes ligados ao governo da Coreia do Norte.

Amostras do malware — batizado de KoSpy pela empresa de cibersegurança Lookout, que fez a descoberta — se apresentavam como aplicativos utilitários para gerenciamento de arquivos, atualização de software e segurança do dispositivo. No entanto, por trás das interfaces, esses programas conseguiam coletar uma ampla gama de informações, incluindo mensagens de texto, registros de chamadas, localização, arquivos, áudios do ambiente e capturas de tela, enviando-os para servidores sob controle de agentes norte-coreanos. Os aplicativos tinham como alvo usuários que falam inglês e coreano e estavam disponíveis em pelo menos dois marketplaces de apps Android, incluindo a Play Store.

Desconfie antes de instalar

Os programas de vigilância se disfarçavam como os cinco aplicativos abaixo:
• 휴대폰 관리자 (Gerenciador de telefone)
• Gerenciador de arquivos
• 스마트 관리자 (Gerenciador Inteligente)
• 카카오 보안 (Kakao Segurança)
• Utilitário de atualização de software

Leia também

Além do Google Play, os aplicativos também podiam ser encontrados na loja de terceiros Apkpure. A imagem a seguir mostra como um desses apps aparecia na Play Store.

A página do desenvolvedor exibia o e-mail mlyqwl@gmail[.]com, e a política de privacidade estava hospedada em https://goldensnakeblog.blogspot[.]com/2023/02/privacy-policy.html.

“Valorizamos sua confiança ao fornecer suas informações pessoais, por isso nos esforçamos para utilizar meios comercialmente viáveis para protegê-las”, afirma a página. “Mas lembre-se de que nenhum método de transmissão na internet ou armazenamento eletrônico é 100% seguro, e não podemos garantir sua proteção absoluta.”

No momento da publicação da notícia pelo Ars, a página continuava acessível e não apresentava registros de comportamento malicioso no VirusTotal. No entanto, os endereços IP que hospedam os servidores de comando e controle já haviam abrigado pelo menos três domínios conhecidos desde 2019 por apoiar operações de espionagem da Coreia do Norte.

Mesmo quando não estavam na Play Store, os aplicativos usavam uma infraestrutura de comando e controle em duas camadas, que obtinha as configurações de um banco de dados hospedado no Firebase, uma plataforma do Google para desenvolvimento de aplicativos. O Google já removeu tanto os aplicativos quanto esse banco de dados de sua infraestrutura.

Capacidade de espionagem avançada

Em uma postagem publicada na quarta-feira, o pesquisador Alemdar Islamoglu, da Lookout, explicou:

O KoSpy é capaz de coletar uma grande quantidade de dados sensíveis dos dispositivos infectados, com a ajuda de plugins carregados dinamicamente. Suas funções incluem:
• Captura de mensagens SMS
• Registro de chamadas telefônicas
• Rastreio da localização do aparelho
• Acesso a arquivos e pastas do armazenamento interno
• Gravação de áudio e captura de imagens com a câmera
• Tirar capturas de tela ou gravar a tela durante o uso
• Registrar pressionamentos de teclas explorando serviços de acessibilidade
• Coletar informações sobre redes Wi-Fi conectadas
• Listar aplicativos instalados no dispositivo

Os dados coletados são enviados para os servidores C2 após serem criptografados com uma chave AES embutida. Durante a análise, os pesquisadores da Lookout identificaram cinco projetos Firebase distintos e cinco servidores C2 diferentes relacionados às amostras do KoSpy. Esses detalhes estão listados na seção de indicadores de comprometimento.

O Google não respondeu aos e-mails que perguntavam quantos aplicativos KoSpy foram distribuídos na Play Store e por quanto tempo ficaram disponíveis. A empresa afirmou apenas que a versão mais recente foi removida antes de receber qualquer instalação, mas não forneceu informações sobre versões anteriores. A empresa ainda destacou que o Google Play Protect pode detectar aplicativos maliciosos mesmo quando eles são baixados de fontes externas à Play Store.

A Lookout tem uma confiança moderada de que grupos de espionagem norte-coreanos conhecidos como APT37 (ScarCruft) e APT43 (Kimsuki) estão por trás dos aplicativos fraudulentos.

Usuários de Android devem avaliar cuidadosamente qualquer aplicativo antes de instalá-lo. Muitos deles não oferecem benefícios significativos, como no caso dos programas detectados pela Lookout. Em alguns casos, um simples navegador pode desempenhar as mesmas funções. Quem suspeitar que um dos aplicativos pode ter sido instalado em um dispositivo sob sua responsabilidade deve verificar os indicadores de comprometimento listados na postagem da Lookout.