عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد البرامج الضارة للأجهزة المحمولة برنامج DocSwap الخبيث للهواتف المحمولة

برنامج DocSwap الخبيث للهواتف المحمولة

بواسطة Mezo في البرامج الضارة للأجهزة المحمولة
ترجمة الى:

يُعدّ البقاء على أهبة الاستعداد لمواجهة التهديدات المتطورة للأجهزة المحمولة أمرًا بالغ الأهمية، حيث يواصل الفاعلون المرتبطون بالدول تطوير أساليب الهندسة الاجتماعية ونشر البرمجيات الخبيثة. وتُسلّط حملة حديثة تُنسب إلى جماعة كيمسوكي الكورية الشمالية الضوء على كيفية دمج المهاجمين بين التصيّد الاحتيالي ورموز الاستجابة السريعة وتطبيقات أندرويد المُخترقة لاختراق أجهزة الضحايا.

الكشف عن أحدث حملة إعلانية لشركة كيمسوكي على نظام أندرويد

ربط باحثون أمنيون اسم Kimsuky بعملية جديدة لتوزيع نوع جديد من برمجيات خبيثة تستهدف نظام أندرويد، تُعرف باسم DocSwap. تستغل هذه الحملة مواقع تصيد احتيالي تنتحل صفة شركة الخدمات اللوجستية الشهيرة CJ Logistics، ومقرها سيول، والتي كانت تُعرف سابقًا باسم CJ Korea Express. صُممت هذه الصفحات المزيفة لتبدو موثوقة وتستهدف المستخدمين الذين ينتظرون إشعارات متعلقة بالشحنات.

رموز الاستجابة السريعة والتنبيهات المزيفة كوسائل لنقل العدوى

يعتمد المهاجمون بشكل كبير على رموز الاستجابة السريعة (QR) والنوافذ المنبثقة الخادعة لجذب المستخدمين لتثبيت تطبيقات ضارة. عند الوصول إلى صفحة التصيد الاحتيالي من جهاز كمبيوتر مكتبي، تظهر رمز الاستجابة السريعة (QR) الذي يحث الزائر على مسحه ضوئيًا باستخدام جهاز أندرويد. تدفع هذه التقنية الضحية إلى تثبيت ما يُقدم على أنه تطبيق لتتبع الشحنات أو تطبيق للتحقق الأمني.

ولزيادة الخداع، تُشغّل صفحة التصيّد الاحتيالي برنامجًا نصيًا بلغة PHP للتتبع، يقوم بفحص وكيل المستخدم للمتصفح. وبناءً على هذا الفحص، تُعرض للمستخدمين رسائل تحثّهم على تثبيت ما يُسمى بوحدة أمان، يُزعم أنها مطلوبة للامتثال لـ"سياسات أمن الجمارك الدولية". وتهدف هذه الرواية إلى تبرير طلب التثبيت وتقليل الشكوك.

تجاوز تحذيرات أمان أندرويد

بسبب تقييد نظام أندرويد لعمليات التثبيت من مصادر غير معروفة وعرضه تحذيرات واضحة، يدّعي المهاجمون زوراً أن التطبيق إصدار رسمي وآمن. وتضغط هذه الحيلة الهندسية الاجتماعية على الضحايا لتجاهل إجراءات الحماية المدمجة في النظام والمضي قدماً في التثبيت رغم التحذيرات.

سلسلة تسليم وتنفيذ ملفات APK الخبيثة

إذا وافق الضحية، يتم تنزيل ملف APK باسم SecDelivery.apk من الخادم على العنوان 27.102.137.181. بمجرد تشغيله، يقوم هذا الملف بفك تشفير ملف APK مشفر مضمن في موارده. قبل تفعيل الحمولة، يتحقق من حصوله على أذونات إدارة وحدة التخزين الخارجية، والوصول إلى الإنترنت، وتثبيت حزم إضافية.

بعد تأكيد الأذونات، يسجل البرنامج الخبيث خدمةً تُعرف باسم com.delivery.security.MainService، ثم يُطلق فورًا عمليةً تُحاكي عملية التحقق من الهوية باستخدام رمز التحقق لمرة واحدة (OTP). تطلب شاشة المصادقة المزيفة هذه رقم تسليم، وهو مُضمّنٌ في ملف APK كرقم 742938128549، ويُرجّح أنه يُقدّم للضحايا خلال خطوة التصيّد الاحتيالي الأولى.

المصادقة الخادعة والاختراق الصامت

عند إدخال رقم الشحنة، يُنشئ التطبيق رمز تحقق عشوائيًا مكونًا من ستة أرقام ويعرضه كإشعار. ثم يُطلب من المستخدم إدخال هذا الرمز، مما يُعزز وهم عملية أمنية شرعية. بمجرد الانتهاء، يفتح التطبيق نافذة ويب تُشير إلى صفحة تتبع الشحنة الأصلية لشركة CJ Logistics، مما يجعل العملية تبدو موثوقة.

في هذه الأثناء، يتصل المكون الخبيث بصمت بخادم تحكم وقيادة يتحكم فيه المهاجم على العنوان 27.102.137.181 على المنفذ 50005. ومن هذه النقطة، يعمل متغير DocSwap الذي تم نشره حديثًا كحصان طروادة كامل الميزات للوصول عن بعد.

إمكانيات الوصول عن بُعد وسرقة البيانات

يستطيع هذا البرنامج الخبيث تلقي عشرات الأوامر من مشغليه، مما يتيح مراقبة الجهاز المصاب والتحكم به على نطاق واسع. وتشمل وظائفه تسجيل مدخلات المستخدم، ومراقبة الاتصالات، واستخراج البيانات الشخصية الحساسة، محولاً الهاتف الذكي المخترق إلى أداة تجسس قوية.

تطبيقات مصابة ببرامج تجسس وتوسيع نطاق التوزيع

إلى جانب تطبيق التوصيل المزيف، رصد الباحثون عينات خبيثة أخرى تنتحل صفة تطبيق توزيع مجاني من الند للند (P2B Airdrop)، ونسخة مخترقة من تطبيق VPN شرعي يُدعى BYCOM VPN. يتوفر تطبيق VPN الأصلي على متجر جوجل بلاي، وهو من تطوير شركة Bycom Solutions الهندية. تشير التحليلات إلى أن كيمسوكي قام بحقن شيفرة خبيثة في ملف APK الأصلي، ثم أعاد تغليفه لاستخدامه في الحملة.

البنية التحتية للتصيد الاحتيالي وجمع بيانات الاعتماد

كشف التحقيق في البنية التحتية الداعمة عن مواقع إلكترونية للتصيد الاحتيالي تُقلّد منصات كورية جنوبية شهيرة مثل نيفر وكاكاو. صُممت هذه المواقع لسرقة بيانات اعتماد المستخدمين، وتُظهر تداخلاً مع عمليات سابقة لشركة كيمسوكي استهدفت مستخدمي نيفر تحديدًا، مما يُشير إلى إعادة استخدام وتوسيع البنية التحتية القائمة.

تصميم البرمجيات الخبيثة المتطور

على الرغم من أن البرمجية الخبيثة المُثبّتة لا تزال تُشغّل خدمة تحكم عن بُعد (RAT) مشابهة لأدوات Kimsuky السابقة، إلا أنها تُظهر تطورًا ملحوظًا. فاستخدام وظيفة فك تشفير أصلية جديدة لملف APK المُضمّن، بالإضافة إلى تضمين سلوكيات تمويه متعددة، يُشير إلى تطوير مستمر وجهود حثيثة لتجنب الكشف عنها مع زيادة فعاليتها.

الشائع

الأكثر مشاهدة

البرمجيات الخبيثة

التصيد الاحتيالي, رسائل إلكترونية مزعجة
30,200
رسالة الاحتيال "Apple Pay Suspended" هي نوع من أساليب التصيد الاحتيالي التي تستهدف مستخدمي Apple Pay. تدعي الرسالة أن محفظة Apple Pay الخاصة بالمستخدم قد تم تعليقها وتحثهم على النقر فوق رابط لاستعادتها. ومع ذلك ، سيؤدي النقر فوق الارتباط إلى نقل المستخدم إلى موقع ويب مزيف مصمم لسرقة معلوماته الشخصية والمالية. إذا وقع المستخدم ضحية لهذا المخطط ، فقد تكون العواقب وخيمة ، بما في ذلك الخسائر...
جار التحميل...