Descargar aplicaciones desde Google Play suele ser bastante seguro, pero incluso esta plataforma puede ser vulnerable. Recientemente, se descubrió un spyware para Android llamado 'KoSpy', vinculado a un grupo de amenazas norcoreano conocido por sus campañas de ciberespionaje. Este malware logró infiltrarse tanto en Google Play como en la tienda APKPure a través de al menos cinco aplicaciones maliciosas, haciéndose pasar por herramientas de seguridad, administradores de archivos y actualizadores de software. La campaña ha estado activa desde marzo de 2022 y se dirige principalmente a usuarios de habla coreana e inglesa.
Apps maliciosas que se hicieron pasar por herramientas legítimas
Las cinco apps que lograron colarse son: 휴대폰 관리자 (Administrador de teléfono), Administrador de archivos (com.file.exploer), 스마트 관리자 (Administrador inteligente), 카카오 보안 (Seguridad Kakao) y Utilidad de actualización de software. Todas se hacían pasar por herramientas legítimas para engañar a los usuarios.
Aplicación maliciosa en Google Play (Fuente: Lookout)
Estas aplicaciones maliciosas no eran del todo falsas; de hecho, algunas ofrecían ciertas funciones legítimas para no levantar sospechas. Sin embargo, mientras tanto, instalaban en secreto el spyware KoSpy en segundo plano.
La única excepción fue Kakao Security, que no hacía nada útil. Solo mostraba una ventana de sistema falsa mientras pedía permisos peligrosos para el dispositivo.
Los expertos vincularon esta campaña al grupo de amenazas APT37, gracias a pistas como direcciones IP relacionadas con ataques anteriores de Corea del Norte, dominios usados para propagar el malware Konni y una infraestructura que se cruza con la de APT43, otro grupo de hackers respaldado por el gobierno norcoreano.
Interfaz de las aplicaciones de KoSpy
Podría interesarte leer: Malware BadBox se ha visto Afectado por 500k Dispositivos Android
¿Cómo funciona el spyware KoSpy?
Una vez que KoSpy se instala en el dispositivo, se conecta a una base de datos de Firebase para descargar un archivo de configuración cifrado. Esta técnica le ayuda a pasar desapercibido frente a las herramientas de seguridad.
Luego, el malware se conecta a su servidor de control (C2) para recibir instrucciones y confirmar que no está siendo ejecutado en un entorno de prueba o emulador. Desde ese servidor, los atacantes pueden actualizar sus órdenes, añadir nuevas funciones e incluso activar o desactivar el spyware según les convenga.
¿Qué puede hacer KoSpy en un dispositivo infectado?
Este spyware es bastante completo y peligroso. Entre sus funciones se encuentran:
- Interceptar registros de llamadas y mensajes SMS
- Rastrear la ubicación GPS del usuario en tiempo real
- Acceder y extraer archivos del almacenamiento del teléfono
- Grabar audio usando el micrófono del dispositivo
- Tomar fotos y videos con la cámara del móvil
- Capturar capturas de pantalla sin que el usuario lo note
- Registrar lo que el usuario escribe mediante los Servicios de Accesibilidad de Android
Cada una de las aplicaciones maliciosas utilizaba un proyecto de Firebase independiente y un servidor C2 diferente para enviar los datos robados. Además, toda la información extraída se cifraba con una clave AES antes de ser enviada, lo que dificultaba aún más su detección.
Conoce más sobre: SpyLend: El Malware de Android con 100,000 descargas en Google Play
¿Cómo eliminar KoSpy del dispositivo?
Aunque las apps infectadas ya fueron eliminadas de Google Play y APKPure, si descargaste alguna de ellas, tendrás que eliminarlas manualmente.
Paso 1: Desinstala cualquier app sospechosa que hayas instalado recientemente.
Paso 2: Usa una herramienta de seguridad para escanear tu dispositivo y detectar posibles restos del spyware.
Paso 3: Si sospechas que tu dispositivo sigue comprometido, lo más seguro es restablecerlo a su configuración de fábrica.
Además, mantener Google Play Protect activado en tu dispositivo puede ayudarte a prevenir futuras infecciones, ya que esta herramienta está diseñada para detectar y bloquear aplicaciones maliciosas conocidas.
Según confirmó Google, todas las aplicaciones infectadas identificadas ya fueron eliminadas de Google Play, al igual que los proyectos de Firebase asociados. Esto sugiere que el ataque estaba dirigido a un público específico, ya que la última versión del malware fue detectada y retirada de Google Play en marzo de 2024, antes de que pudiera propagarse masivamente.