Redazione RHC : 17 Marzo 2025 08:24
Gli esperti di Lookout hanno scoperto un nuovo spyware per Android chiamato KoSpy. Il malware è collegato agli hacker nordcoreani ed è stato trovato nello store ufficiale di Google Play e nello store di terze parti APKPure come parte di almeno cinque app.
Secondo i ricercatori, lo spyware è collegato al gruppo nordcoreano APT37 (noto anche come ScarCruft). La campagna che utilizza questo malware è attiva da marzo 2022 e, a giudicare dai campioni di malware, gli hacker stanno attivamente migliorando il loro sviluppo.
La campagna di spionaggio è rivolta principalmente agli utenti coreani e di lingua inglese. KoSpy si maschera da file manager, strumenti di sicurezza e aggiornamenti per vari software.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi».
Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.
Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
In totale, gli esperti di Lookout hanno trovato cinque applicazioni: 휴대폰 관리자 (Phone Manager), File Manager (com.file.exploer), 스마트 관리자 (Smart Manager), 카카오 보안 (Kakao Security) e Software Update Utility.
Quasi tutte le app dannose forniscono effettivamente almeno alcune delle funzionalità promesse, ma scaricano anche KoSpy in background. L’unica eccezione è Kakao Security. Questa app mostra solo una finta finestra di sistema, chiedendo l’accesso a permessi pericolosi.
I ricercatori attribuiscono la campagna ad APT37 basandosi sugli indirizzi IP precedentemente associati alle operazioni degli hacker nordcoreani, sui domini utilizzati per distribuire il malware Konni e sulle infrastrutture che si sovrappongono a un altro gruppo di hacker nordcoreano, APT43.
Una volta attivato su un dispositivo, KoSpy recupera un file di configurazione crittografato dal database Firebase Firestore per evitare di essere rilevato.
Il malware si connette quindi al server di comando e controllo e verifica se è in esecuzione nell’emulatore. Il malware può ricevere impostazioni aggiornate dal server degli aggressori, payload aggiuntivi da eseguire e può anche essere attivato o disattivato dinamicamente utilizzando uno speciale interruttore.
KoSpy si concentra principalmente sulla raccolta dati, le sue capacità sono le seguenti:
Ogni app utilizza un progetto e un server Firebase separati per “drenare” i dati, che vengono crittografati con una chiave AES codificata prima della trasmissione.
Sebbene le app dannose siano state rimosse da Google Play e APKPure, i ricercatori avvertono che gli utenti dovranno rimuovere manualmente il malware dai loro dispositivi e anche scansionare i loro gadget con strumenti di sicurezza per eliminare qualsiasi infezione residua. In alcuni casi potrebbe essere necessario ripristinare le impostazioni di fabbrica
RedazioneLa rete governativa del Nevada è rimasta paralizzata dopo un incidente avvenuto nelle prime ore del mattino del 24 agosto. L’attacco ha reso inoperativa l’infrastruttura IT dello St...
Una vulnerabilità critica nella versione desktop di Docker per Windows e macOS ha consentito la compromissione di un sistema host tramite l’esecuzione di un contenitore dannoso, anche se e...
Finalmente (detto metaforicamente), ci siamo arrivati. Gli esperti di ESET hanno segnalato il primo programma ransomware in cui l’intelligenza artificiale gioca un ruolo chiave. Il nuovo campio...
A partire da metà settembre, la Red Hot Cyber Academy inaugurerà un nuovo capitolo della propria offerta formativa con il lancio del corso “Prompt Engineering: dalle basi alla Cyberse...
SinCity torna a far parlare di sé, questa volta mettendo in vendita l’accesso amministrativo a un nuovo shop online italiano basato su PrestaShop. Secondo quanto dichiarato dallo stesso th...
