Мобилен зловреден софтуер DocSwap
Да се поддържа бдителност за развиващите се мобилни заплахи е от съществено значение, тъй като свързаните с държавата участници продължават да усъвършенстват техниките за социално инженерство и доставяне на зловреден софтуер. Неотдавнашна кампания, приписвана на севернокорейската група Kimsuky, подчертава как нападателите смесват фишинг, QR кодове и троянски приложения за Android, за да компрометират устройствата на жертвите.
Съдържание
Разкрита е последната Android кампания на Кимсуки
Изследователи по сигурността са свързали Kimsuky с нова операция, разпространяваща нов вариант на зловреден софтуер за Android, известен като DocSwap. Кампанията злоупотребява с фишинг уебсайтове, представящи се за известната логистична компания, базирана в Сеул, CJ Logistics, известна преди като CJ Korea Express. Тези фалшиви страници са създадени да изглеждат надеждни и са насочени към потребители, очакващи известия, свързани с пратки.
QR кодове и фалшиви сигнали като вектори на заразяване
Нападателите разчитат до голяма степен на QR кодове и подвеждащи изскачащи прозорци с известия, за да привлекат потребителите да инсталират злонамерени приложения. Когато се осъществява достъп от настолна система, фишинг страницата показва QR код, който подканва посетителя да го сканира с устройство с Android. Тази техника на пренасочване подтиква жертвата да инсталира приложение, представено като програма за проследяване на пратки или проверка на сигурността.
За да подсилят измамата, фишинг страницата изпълнява проследяващ PHP скрипт, който проверява потребителския агент на браузъра. Въз основа на тази проверка на потребителите се показват съобщения, които ги призовават да инсталират така наречения модул за сигурност, за който се предполага, че е необходим, за да се спазват „международните политики за митническа сигурност“. Този наратив има за цел да оправдае заявката за инсталиране и да намали подозренията.
Заобикаляне на предупрежденията за сигурност на Android
Тъй като Android ограничава инсталациите от неизвестни източници и показва ясни предупреждения, злонамерените лица лъжливо твърдят, че приложението е официално и безопасно издание. Тази тактика на социално инженерство принуждава жертвите да игнорират вградените защити и да продължат с инсталацията въпреки предупрежденията.
Верига за доставка и изпълнение на злонамерен APK файл
Ако жертвата се съгласи, APK файл с име SecDelivery.apk се изтегля от сървъра на адрес 27.102.137.181. След стартиране, този пакет декриптира криптиран APK файл, вграден в собствените му ресурси. Преди да активира полезния товар, той проверява дали е получил разрешения за управление на външно хранилище, достъп до интернет и инсталиране на допълнителни пакети.
След потвърждаване на разрешенията, зловредният софтуер регистрира услуга, идентифицирана като com.delivery.security.MainService, и незабавно стартира дейност, представяща се за проверка на самоличността, базирана на OTP. Този фалшив екран за удостоверяване изисква номер за доставка, който е твърдо кодиран в APK файла като 742938128549 и вероятно се предоставя на жертвите по време на първоначалната стъпка на фишинг.
Подвеждащо удостоверяване и тихо компрометиране
След въвеждане на номера на доставката, приложението генерира произволен шестцифрен код за потвърждение и го показва като известие. След това потребителят бива подканен да въведе този код, което засилва илюзията за легитимен процес на сигурност. След като приключи, приложението отваря WebView, сочещ към истинската страница за проследяване на CJ Logistics, което прави действието да изглежда автентично.
Междувременно, злонамереният компонент тихомълком се свързва с контролиран от атакуващия сървър за командване и контрол на адрес 27.102.137.181 през порт 50005. От този момент нататък, новоразположеният вариант на DocSwap работи като пълнофункционален троянски кон за отдалечен достъп.
Възможности за отдалечен достъп и кражба на данни
Зловредният софтуер е способен да получава десетки команди от своите оператори, което позволява обширно наблюдение и контрол върху заразеното устройство. Функционалността му включва възможност за регистриране на потребителски вход, наблюдение на комуникациите и извличане на чувствителни лични данни, превръщайки компрометирания смартфон в мощен инструмент за шпионаж.
Троянизирани приложения и разширено разпространение
Освен фалшивото приложение за доставка, изследователите идентифицираха допълнителни злонамерени проби, маскирани като P2B Airdrop приложение, и компрометирана версия на легитимен VPN продукт, BYCOM VPN. Истинското VPN приложение е достъпно в Google Play и е разработено от индийската компания Bycom Solutions. Анализът показва, че Kimsuky е инжектирал злонамерен код в легитимния APK файл и го е преопаковал за използване в кампанията.
Фишинг инфраструктура и събиране на идентификационни данни
Разследване на поддържащата инфраструктура разкри фишинг уебсайтове, имитиращи популярни южнокорейски платформи като Naver и Kakao. Тези сайтове са предназначени да крадат потребителски идентификационни данни и показват припокривания с по-ранни операции на Kimsuky, насочени специално към потребители на Naver, което предполага повторна употреба и разширяване на установената инфраструктура.
Развиващ се дизайн на зловреден софтуер
Въпреки че внедреният зловреден софтуер все още стартира RAT услуга, подобна на предишните инструменти на Kimsuky, той демонстрира забележителна еволюция. Използването на нова вградена функция за декриптиране за вградения APK файл и включването на множество примамливи поведения показват непрекъснато развитие и опит за избягване на откриване, като същевременно се повишава ефективността.
