Investigadores de ciberseguridad identificaron un poderoso virus espía, vinculado al Gobierno de Corea del Norte, que se infiltró en dispositivos Android a través de Google Play Store.
Un grupo de ciberespionaje vinculado al Gobierno de Corea del Norte desplegó un poderoso virus espía denominado KoSpy, el cual se ha infiltrado en dispositivos Android a través de aplicaciones fraudulentas.
La plataforma de ciberseguridad Lookout identificó la amenaza en la tienda oficial de Google Play Store y en plataformas de terceros, poniendo en riesgo la privacidad de miles de usuarios.
El malware KoSpy se camufla en aplicaciones que parecen legítimas, como administradores de archivos y herramientas de seguridad, pero en realidad funcionan como puertas traseras para el espionaje. Según los investigadores, el virus está diseñado para atacar a usuarios de habla coreana e inglesa, lo que sugiere una estrategia de espionaje geopolítico.
El grupo responsable de esta campaña es APT37, también conocido como ScarCruft, un colectivo de hackers que opera desde 2012 con respaldo del régimen norcoreano. Aunque su principal objetivo ha sido Corea del Sur, sus ataques han alcanzado países como Japón, Vietnam, Rusia, China, India, Kuwait y Rumanía, entre otros.
Lea aquí: ¿Usa Chrome, Safari o Firefox? Estas son las 15 ciberamenazas más comunes en teléfonos
El análisis de Lookout reveló que KoSpy ha estado activo al menos desde marzo de 2022, con variantes detectadas hasta marzo de 2023. Durante ese tiempo, se distribuyó a través de Google Play Store y Firebase, una plataforma en la nube utilizada para el desarrollo de aplicaciones móviles y web.
Las aplicaciones maliciosas, que se presentaban con nombres como ”Administrador de archivos”, ”Kakao Security” y ”Utilidad de actualización de software”, ya fueron eliminadas de Google Play tras el hallazgo de los expertos. Google también desactivó los proyectos Firebase asociados a esta campaña.
Además, se identificó que todas las aplicaciones estaban registradas bajo el desarrollador ”Android Utility Developer”, con el correo electrónico mlyqwl@gmail.com, lo que sugiere que la operación tenía una identidad digital única para difundir el virus.
Lea también: Elon Musk dice que X sufrió un “ciberataque masivo”
Dado que el spyware fue distribuido en tiendas oficiales de aplicaciones, los expertos recomiendan a los usuarios de Android seguir estas medidas para evitar caer en campañas de ciberespionaje:
- Descargar solo aplicaciones verificadas y de desarrolladores reconocidos.
- Revisar los permisos que solicitan las apps antes de instalarlas.
- Mantener el sistema operativo y las aplicaciones actualizadas para evitar vulnerabilidades.
- Utilizar software de seguridad confiable que detecte amenazas antes de su ejecución.
- Evitar enlaces sospechosos o descargas de fuentes no oficiales como APKPure u otras tiendas de terceros.
