Fotomontaje de Kim Jong-Un, líder de Corea del Norte, con el icono de la Google Play Store

Fotomontaje de Kim Jong-Un, líder de Corea del Norte, con el icono de la Google Play Store Wikimedia Commons | Google El Androide Libre

Noticias y novedades

Corea del Norte consiguió subir apps espía a la Play Store saltándose las medidas de seguridad de Google

Un grupo de hackers asociados con Corea del Norte ejecutó una campaña de espionaje de móviles Android usando varias apps.

Más información: Actualiza tu móvil en cuanto puedas: Qualcomm confirma un fallo de seguridad que ya está siendo usado por hackers

Publicada
Actualizada

La Play Store es la tienda de apps de Google, y la que viene preinstalada por defecto en la inmensa mayoría de los smartphones vendidos en España que no son de Apple; no en vano, es la referencia absoluta en el sector Android, la tienda más popular en todo el mundo para la distribución de juegos y aplicaciones para móviles y tablets. Pero ahora, su seguridad se ha puesto en duda con la publicación de un informe que detalla un exitoso ciberataque proveniente de Corea del Norte.

La publicación de la firma de seguridad Lookout revela la existencia de un programa espía diseñado para Android, llamado KoSpy, que ha sido integrado en varias apps aparentemente benignas, pero que son capaces de vigilar todo lo que el usuario hace con su móvil, e incluso grabar su voz sin su permiso. 

La buena noticia es que Google fue advertida por los investigadores antes de esta publicación, y que la compañía ya ha retirado todas las apps maliciosas descubiertas; además, Google ha anunciado que Google Play ahora protege a los usuarios de las versiones conocidas de este malware, gracias a los Play Services que vienen preinstalados en los móviles. Sin embargo, también se ha confirmado que estas apps ya han terminado en los móviles de víctimas potenciales.

KoSpy ha sido integrada en cinco apps diferentes que se hacen pasar por funciones básicas como un gestor de archivos, una app de teléfono o una app de seguridad. Todas estas apps son extremadamente simples, y en la mayoría de los casos ni siquiera tienen funciones propias sino que abren aplicaciones ya preinstaladas en el sistema; por ejemplo, una app de "utilidad de actualización de software" simplemente abre la pantalla de actualización del sistema Android.

Cuando estas apps son instaladas e iniciadas en un móvil Android, KoSpy se ejecuta en segundo plano y se conecta con un servidor externo controlado por los hackers; a través de esta conexión, puede descargar código ejecutable que cumpla más funciones, además de la configuración del espionaje que se va a realizar, dependiendo de los objetivos de los atacantes y de los pasos necesarios para obtener la información. KoSpy es capaz de obtener una gran cantidad de datos, tanto del móvil como del entorno de la persona espiada:

  • Mensajes SMS
  • Registros de llamadas
  • Localización del dispositivo
  • Archivos y carpetas del almacenamiento local
  • Grabación de audio con el micrófono del móvil y fotos con las cámaras.
  • Capturas y grabación de la pantalla
  • Registros de las teclas pulsadas.
  • Datos de la red WiFi
  • Lista de aplicaciones instaladas

Un detalle interesante es que, pese a haber usado la Play Store para la distribución de su 'spyware', en realidad el alcance de estas apps maliciosas ha sido muy limitado. De hecho, la app más 'exitosa' ha sido 'File Manager - Android', una app que se hace pasar por un gestor de archivos y que ha sido descargada sólo en diez ocasiones desde la Play Store. Sin embargo, los investigadores creen que eso es porque el objetivo de los atacantes no era la infección masiva de dispositivos, sino entrar en los móviles de personas concretas.

SPC

En otras palabras, los atacantes habrían conseguido engañar a sus objetivos para que descarguen estas apps maliciosas; normalmente esto se hace dirigiendo a la víctima a páginas falsas controladas por los hackers. Pero engañar a los usuarios es cada vez más difícil, especialmente si son miembros de gobiernos o empresas y han recibido algún entrenamiento de ciberseguridad; incluso el usuario medio ya sabe (o debería saber) que no debería descargar apps de sitios sospechosos. 

Ahí es donde radica la genialidad de este ataque, ya que aprovecha de la buena fama de Google y su Play Store; los usuarios ya están acostumbrados a instalar apps de la tienda oficial, así que no les extraña tener que instalar una más de esta fuente. Sin embargo, por el momento no está claro cuáles eran los objetivos de los hackers ni cuál es su motivación. Los investigadores de Lookout creen que ha sido un ataque dirigido contra personas concretas en Corea del Sur, y que se trata de una operación de grupos de hackers del gobierno norcoreano por las direcciones IP de los servidores a los que se conecta el 'spyware'.