Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

Gli Hacker Nordcoreani impiantano malware nelle App del PlayStore

Redazione RHC : 17 Marzo 2025 08:24

Gli esperti di Lookout hanno scoperto un nuovo spyware per Android chiamato KoSpy. Il malware è collegato agli hacker nordcoreani ed è stato trovato nello store ufficiale di Google Play e nello store di terze parti APKPure come parte di almeno cinque app.

Secondo i ricercatori, lo spyware è collegato al gruppo nordcoreano APT37 (noto anche come ScarCruft). La campagna che utilizza questo malware è attiva da marzo 2022 e, a giudicare dai campioni di malware, gli hacker stanno attivamente migliorando il loro sviluppo.

La campagna di spionaggio è rivolta principalmente agli utenti coreani e di lingua inglese. KoSpy si maschera da file manager, strumenti di sicurezza e aggiornamenti per vari software.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


In totale, gli esperti di Lookout hanno trovato cinque applicazioni: 휴대폰 관리자 (Phone Manager), File Manager (com.file.exploer), 스마트 관리자 (Smart Manager), 카카오 보안 (Kakao Security) e Software Update Utility.

Quasi tutte le app dannose forniscono effettivamente almeno alcune delle funzionalità promesse, ma scaricano anche KoSpy in background. L’unica eccezione è Kakao Security. Questa app mostra solo una finta finestra di sistema, chiedendo l’accesso a permessi pericolosi.

I ricercatori attribuiscono la campagna ad APT37 basandosi sugli indirizzi IP precedentemente associati alle operazioni degli hacker nordcoreani, sui domini utilizzati per distribuire il malware Konni e sulle infrastrutture che si sovrappongono a un altro gruppo di hacker nordcoreano, APT43.

Una volta attivato su un dispositivo, KoSpy recupera un file di configurazione crittografato dal database Firebase Firestore per evitare di essere rilevato.

Il malware si connette quindi al server di comando e controllo e verifica se è in esecuzione nell’emulatore. Il malware può ricevere impostazioni aggiornate dal server degli aggressori, payload aggiuntivi da eseguire e può anche essere attivato o disattivato dinamicamente utilizzando uno speciale interruttore.

KoSpy si concentra principalmente sulla raccolta dati, le sue capacità sono le seguenti:

  • intercettazione di SMS e registri delle chiamate;
  • Monitoraggio GPS in tempo reale della posizione della vittima;
  • lettura e recupero di file dall’archiviazione locale;
  • utilizzo del microfono del dispositivo per registrare l’audio;
  • utilizzo della fotocamera del dispositivo per scattare foto e registrare video;
  • creazione di screenshot dello schermo del dispositivo;
  • Intercettazione di sequenze di tasti utilizzando i Servizi di accessibilità Android.

Ogni app utilizza un progetto e un server Firebase separati per “drenare” i dati, che vengono crittografati con una chiave AES codificata prima della trasmissione.

Sebbene le app dannose siano state rimosse da Google Play e APKPure, i ricercatori avvertono che gli utenti dovranno rimuovere manualmente il malware dai loro dispositivi e anche scansionare i loro gadget con strumenti di sicurezza per eliminare qualsiasi infezione residua. In alcuni casi potrebbe essere necessario ripristinare le impostazioni di fabbrica

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Cyberattack in Norvegia: apertura forzata della diga evidenzia la vulnerabilità dei sistemi OT/SCADA

Nel mese di aprile 2025, una valvola idraulica di una diga norvegese è stata forzatamente aperta da remoto per diverse ore, a seguito di un attacco informatico mirato. L’episodio, riportat...

Un milione di Lead Italiani del 2025 in vendita nelle underground. Per un Phishing senza domani!

Sul forum underground russo XSS è apparso un post che offre una “Collection di Lead Verificati Italia 2025” con oltre 1 milione di record. Questo tipo di inserzioni evidenzia la con...

Cyber War: la guerra invisibile nel cyberspazio che decide i conflitti del presente

Nel cuore dei conflitti contemporanei, accanto ai carri armati, ai droni e alle truppe, si combatte una guerra invisibile, silenziosa e spesso sottovalutata: la cyber war. Non è solo uno scenario...

Un Hacker divulga i dati sensibili dei politici spagnoli. Coinvolto anche il premier Pedro Sánchez

Le autorità iberiche sono impegnate in un’indagine riguardante un pirata informatico che ha divulgato informazioni sensibili relative a funzionari pubblici e figure politiche di spicco. Tr...

Arriva Skynet: il malware che Colpisce l’Intelligenza Artificiale!

Un insolito esempio di codice dannoso è stato scoperto in un ambiente informatico reale , che per la prima volta ha registrato un tentativo di attacco non ai classici meccanismi di difesa, ma dir...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006