El grupo de amenazas vinculado a Corea del Norte, conocido como ScarCruft, ha sido identificado como el responsable de una nueva herramienta de vigilancia para Android llamada KoSpy. Esta campaña ha estado dirigida a usuarios que hablan coreano e inglés.
Según la firma de seguridad Lookout, las primeras versiones del malware datan de marzo de 2022, con las muestras más recientes detectadas en marzo de 2024. Sin embargo, aún no se ha determinado el alcance del éxito de estos ataques.
KoSpy está diseñado para recopilar una amplia variedad de datos del dispositivo infectado, incluyendo mensajes SMS, registros de llamadas, ubicación, archivos almacenados, audio y capturas de pantalla. Utiliza plugins cargados dinámicamente para ampliar sus capacidades de espionaje.
Los ciberdelincuentes disfrazaron el malware como aplicaciones utilitarias en la tienda oficial de Google Play, bajo nombres como File Manager, Phone Manager, Smart Manager, Software Update Utility y Kakao Security. Estas apps proporcionaban la funcionalidad prometida para evitar sospechas, mientras en segundo plano desplegaban los componentes espía. Afortunadamente, Google ya ha eliminado estas aplicaciones de su tienda.
Una vez instaladas, las apps maliciosas contactan una base de datos en la nube de Firebase Firestore para obtener la dirección real del servidor de comando y control (C2). Este enfoque de doble etapa permite a los atacantes cambiar el C2 en cualquier momento sin levantar sospechas.
Además, KoSpy verifica si el dispositivo es un emulador y se asegura de que la fecha actual sea posterior a la fecha de activación codificada en el malware. Esta táctica impide que la amenaza se active prematuramente y sea descubierta antes de ejecutarse en su totalidad.
KoSpy también tiene la capacidad de descargar plugins adicionales y nuevas configuraciones desde su servidor C2 para ampliar su capacidad de espionaje. Sin embargo, debido a que los servidores de comando y control actualmente no responden, aún no se ha identificado la naturaleza exacta de estos complementos.
El malware recopila información sensible como mensajes SMS, registros de llamadas, ubicación del dispositivo, archivos almacenados, capturas de pantalla, pulsaciones de teclas, información de redes Wi-Fi y la lista de aplicaciones instaladas. Incluso puede grabar audio y tomar fotos de manera encubierta.
Otra investigación de Palo Alto Networks Unit 42 reveló una nueva campaña dirigida al sector de criptomonedas, utilizando el malware RustDoor (también conocido como ThiefBucket) y una variante previamente desconocida de Koi Stealer para macOS.
Los ataques comienzan con un falso proyecto de entrevista laboral que, cuando se ejecuta a través de Microsoft Visual Studio, descarga y ejecuta RustDoor. Este malware roba contraseñas almacenadas en la extensión de Google Chrome de LastPass y exfiltra datos a un servidor externo. Posteriormente, descarga dos scripts adicionales para establecer una conexión de acceso remoto.
En la fase final, los atacantes utilizan una versión modificada de Koi Stealer disfrazada de Visual Studio, que engaña a las víctimas para que ingresen su contraseña del sistema, permitiendo la extracción de datos sensibles.
Las organizaciones deben fortalecer sus defensas mediante auditorías regulares de seguridad, concienciación sobre amenazas y el uso de herramientas avanzadas de detección de malware para mitigar estos riesgos en constante evolución.
Fuente: thehackernews.com
