Programari maliciós per a mòbils DocSwap
Mantenir-se alerta a les amenaces mòbils en evolució és essencial, ja que els actors vinculats a l'estat continuen refinant les tècniques d'enginyeria social i de distribució de programari maliciós. Una campanya recent atribuïda al grup nord-coreà Kimsuky destaca com els atacants barregen phishing, codis QR i aplicacions Android troianitzades per comprometre els dispositius de les víctimes.
Taula de continguts
Descoberta la darrera campanya per a Android de Kimsuky
Investigadors de seguretat han vinculat Kimsuky amb una nova operació que distribueix una nova variant de programari maliciós per a Android coneguda com a DocSwap. La campanya utilitza llocs web de phishing que suplanten la coneguda empresa de logística CJ Logistics amb seu a Seül, anteriorment anomenada CJ Korea Express. Aquestes pàgines falses estan dissenyades per semblar fiables i dirigides als usuaris que esperen notificacions relacionades amb enviaments.
Codis QR i alertes falses com a vectors d’infecció
Els atacants es basen en gran mesura en codis QR i finestres emergents de notificació enganyoses per atraure els usuaris a instal·lar aplicacions malicioses. Quan s'hi accedeix des d'un sistema d'escriptori, la pàgina de phishing mostra un codi QR que demana al visitant que l'escanegi amb un dispositiu Android. Aquesta tècnica de redirecció empeny la víctima a instal·lar el que es presenta com una aplicació de seguiment d'enviaments o de verificació de seguretat.
Per continuar amb l'engany, la pàgina de phishing executa un script de seguiment PHP que inspecciona l'agent d'usuari del navegador. A partir d'aquesta comprovació, es mostren missatges als usuaris que els insten a instal·lar un anomenat mòdul de seguretat, suposadament necessari per complir amb les "polítiques de seguretat duaneres internacionals". Aquesta narrativa pretén justificar la sol·licitud d'instal·lació i reduir les sospites.
Evitant els avisos de seguretat d’Android
Com que Android restringeix les instal·lacions des de fonts desconegudes i mostra avisos destacats, els actors de les amenaces afirmen falsament que l'aplicació és una versió oficial i segura. Aquesta tàctica d'enginyeria social pressiona les víctimes perquè ignorin les proteccions integrades i continuïn amb la instal·lació malgrat les alertes.
Cadena d’execució i lliurament d’APK maliciosa
Si la víctima hi està d'acord, es descarrega un APK anomenat SecDelivery.apk del servidor a 27.102.137.181. Un cop iniciat, aquest paquet desxifra un APK xifrat incrustat dins dels seus propis recursos. Abans d'activar la càrrega útil, verifica que ha obtingut permisos per gestionar l'emmagatzematge extern, accedir a Internet i instal·lar paquets addicionals.
Un cop confirmats els permisos, el programari maliciós registra un servei identificat com a com.delivery.security.MainService i immediatament inicia una activitat que es fa passar per una comprovació d'identitat basada en OTP. Aquesta pantalla d'autenticació falsa sol·licita un número de lliurament, que està codificat a l'APK com a 742938128549 i que probablement es proporciona a les víctimes durant el pas inicial de phishing.
Autenticació enganyosa i compromís silenciós
En introduir el número de lliurament, l'aplicació genera un codi de verificació aleatori de sis dígits i el mostra com a notificació. A continuació, es demana a l'usuari que introdueixi aquest codi, reforçant la il·lusió d'un procés de seguretat legítim. Un cop finalitzat, l'aplicació obre una vista web que apunta a la pàgina de seguiment genuïna de CJ Logistics, fent que l'activitat sembli autèntica.
Mentrestant, el component maliciós es connecta silenciosament a un servidor de comandament i control controlat per un atacant a 27.102.137.181 al port 50005. A partir d'aquest punt, la variant DocSwap recentment desplegada funciona com un troià d'accés remot amb totes les funcions.
Capacitats d’accés remot i robatori de dades
El programari maliciós és capaç de rebre desenes d'ordres dels seus operadors, cosa que permet una vigilància i un control exhaustius del dispositiu infectat. La seva funcionalitat inclou la capacitat de registrar les entrades de l'usuari, supervisar les comunicacions i extreure dades personals sensibles, convertint el telèfon intel·ligent compromès en una potent eina d'espionatge.
Aplicacions troianitzades i distribució ampliada
A més de l'aplicació de lliurament falsa, els investigadors van identificar mostres malicioses addicionals que es feien passar per una aplicació P2B Airdrop i una versió compromesa d'un producte VPN legítim, BYCOM VPN. L'aplicació VPN genuïna està disponible a Google Play i està desenvolupada per l'empresa índia Bycom Solutions. L'anàlisi indica que Kimsuky va injectar codi maliciós a l'APK legítim i el va tornar a empaquetar per utilitzar-lo a la campanya.
Infraestructura de phishing i recol·lecció de credencials
La investigació de la infraestructura de suport va revelar llocs web de phishing que imiten plataformes sud-coreanes populars com ara Naver i Kakao. Aquests llocs estan dissenyats per robar credencials d'usuari i mostren solapaments amb operacions anteriors de Kimsuky que es dirigien específicament als usuaris de Naver, cosa que suggereix la reutilització i l'expansió de la infraestructura establerta.
Disseny de programari maliciós en evolució
Tot i que el programari maliciós desplegat encara llança un servei RAT similar a les eines anteriors de Kimsuky, demostra una evolució notable. L'ús d'una nova funció de desxifratge nativa per a l'APK incrustat i la inclusió de múltiples comportaments esquer indiquen un desenvolupament continu i un esforç per evadir la detecció alhora que augmenta l'eficàcia.
