Il gruppo di cyber spionaggio noto come ScarCruft, legato alla Corea del Nord, è stato recentemente associato a uno strumento di sorveglianza Android inedito chiamato KoSpy. Questo malware, mirato a utenti di lingua coreana e inglese, sfrutta app false per raccogliere dati sensibili. Secondo Lookout, un'azienda di sicurezza informatica, le versioni più antiche di KoSpy risalgono a marzo 2022, con campioni recenti individuati nel marzo 2024. Tuttavia, non è chiaro quanto successo abbiano avuto queste operazioni.

KoSpy è in grado di raccogliere una vasta gamma di dati, tra cui messaggi SMS, registri delle chiamate, posizione, file, audio e screenshot tramite plugin caricati dinamicamente. Le app dannose sono mascherate come applicazioni di utilità disponibili sul Google Play Store ufficiale, con nomi come File Manager, Phone Manager, Smart Manager, Software Update Utility e Kakao Security, ingannando così gli utenti ignari. Tutte le app identificate sono state rimosse dal marketplace.

ScarCruft, conosciuto anche come APT27 e Reaper, è un gruppo di cyber spionaggio sponsorizzato dallo stato nordcoreano attivo dal 2012. Le catene di attacco orchestrate dal gruppo utilizzano principalmente RokRAT per raccogliere dati sensibili dai sistemi Windows, adattato successivamente per attaccare macOS e Android. Le app Android, una volta installate, sono progettate per contattare un database cloud Firebase Firestore per recuperare una configurazione contenente l'indirizzo del server di comando e controllo (C2) reale.

Utilizzando un servizio legittimo come Firestore come "dead drop resolver", l'approccio C2 a due fasi offre flessibilità e resilienza, consentendo al gruppo di minaccia di cambiare l'indirizzo C2 in qualsiasi momento e operare senza essere rilevato. Dopo aver recuperato l'indirizzo C2, KoSpy verifica che il dispositivo non sia un emulatore e che la data corrente sia successiva alla data di attivazione codificata. Questo controllo della data di attivazione garantisce che il malware non riveli prematuramente le sue intenzioni dannose.

KoSpy è capace di scaricare plugin aggiuntivi e configurazioni per soddisfare i suoi obiettivi di sorveglianza. La natura esatta del plugin rimane sconosciuta poiché i server C2 non sono più attivi o non rispondono alle richieste dei client. Lookout ha identificato sovrapposizioni infrastrutturali tra la campagna KoSpy e quelle precedentemente attribuite a un altro gruppo di hacker nordcoreano chiamato Kimsuky (noto anche come APT43).

Google, in una dichiarazione, ha affermato: "L'uso della lingua regionale suggerisce che si trattava di un malware mirato. Prima di qualsiasi installazione da parte degli utenti, l'ultimo campione di malware scoperto nel marzo 2024 è stato rimosso da Google Play. Google Play Protect protegge automaticamente gli utenti Android dalle versioni conosciute di questo malware sui dispositivi con Google Play Services, anche quando le app provengono da fonti esterne a Play."