Un recente studio ha rivelato la presenza di numerose applicazioni per Android, alcune delle quali disponibili su Google Play nonostante il superamento dei controlli di sicurezza, che inviano segretamente informazioni sensibili degli utenti a spie associate al governo della Corea del Nord. Questa scoperta è stata effettuata dalla società di sicurezza Lookout, che ha identificato il malware con il nome di KoSpy.
Indice dei contenuti
Dettagli sul malware KoSpy
L’analisi condotta dai ricercatori ha mostrato che le app infette si travestono da strumenti utili, come gestori di file, aggiornamenti di app o del sistema operativo e applicazioni per la sicurezza del dispositivo. Dietro le interfacce apparentemente innocue, queste applicazioni sono in grado di raccogliere una vasta gamma di dati personali. Tra le informazioni estratte vi sono messaggi SMS, registri delle chiamate, coordinate geografiche, file, audio circostante e screenshot. Tutti questi dati vengono trasmessi a server controllati da agenti dei servizi segreti nordcoreani.
Seguici su Google News
Ricevi i nostri aggiornamenti direttamente nel tuo feed di
notizie personalizzato
Seguici ora
Le app mirano a utenti di lingua inglese e coreana e sono state trovate non solo su Google Play, ma anche in altri marketplace per Android. Questa varietà di piattaforme aumenta il rischio di esposizione per gli utenti ignari che possono scaricare e installare involontariamente software malevolo.
Le applicazioni compromesse
Il malware si presenta sotto varie forme, utilizzando nomi che sembrano innocui per attrarre gli utenti. Le cinque app identificate includono:
- 휴대폰 관리자
- File Manager
- 스마트 관리자
- 카카오 보안
- Software Update Utility
Nonostante la presenza delle app su Google Play, sono state ugualmente disponibili nel marketplace terzo Apkpure, il che amplia ulteriormente la portata del problema.
Nella rete di attacco
Un esempio di come queste app appaiono su Google Play è visibile nell’immagine condivisa da Lookout, che mostra l’indirizzo email dello sviluppatore: mlyqwl@gmail.com. La pagina della politica sulla privacy dell’app era consultabile all’indirizzo https://goldensnakeblog.blogspot.com/2023/02/privacy-policy.html.
In questo documento, il provider dichiara di apprezzare la fiducia degli utenti nel fornire informazioni personali, impegnandosi a proteggere questi dati. Tuttavia, evidenzia l’assenza di garanzie sulla sicurezza assoluta, sottolineando che nessun metodo di trasmissione o di archiviazione elettronica è completamente sicuro.
Ciò che emerge da questa scoperta è allarmante: mentre la pagina della privacy non riporta anomalie su Virus Total, gli indirizzi IP associati ai server di comando e controllo sono stati collegati a domini noti per ospitare infrastrutture utilizzate in operazioni di spionaggio nordcoreane dal 2019.
Considerazioni per gli utenti
Queste rivelazioni sollevano interrogativi significativi sulla sicurezza delle applicazioni disponibili negli store ufficiali e quanto possano essere vulnerabili le informazioni personali degli utenti. Prima di installare qualsiasi app, è fondamentale essere cauti e verificare le fonti. La linea di difesa migliore è sempre la prudenza: è meglio fermarsi a riflettere e considerare le implicazioni sulla privacy piuttosto che correre il rischio di rendere le proprie informazioni facilmente accessibili a malintenzionati.
