Mobilní malware DocSwap
Je nezbytné zůstat ostražití vůči vyvíjejícím se mobilním hrozbám, protože se státy propojené subjekty neustále zdokonalují techniky sociálního inženýrství a distribuce malwaru. Nedávná kampaň připisovaná severokorejské skupině Kimsuky zdůrazňuje, jak útočníci kombinují phishing, QR kódy a trojské koně Android, aby ohrozili zařízení obětí.
Obsah
Odhalena nejnovější kampaň Kimsuky pro Android
Bezpečnostní experti spojili Kimsuky s novou operací distribuující novou variantu malwaru pro Android známou jako DocSwap. Kampaň zneužívá phishingové webové stránky, které se vydávají za známou logistickou společnost CJ Logistics se sídlem v Soulu, dříve CJ Korea Express. Tyto falešné stránky jsou navrženy tak, aby působily důvěryhodně, a cílí na uživatele očekávající oznámení týkající se zásilek.
QR kódy a falešné upozornění jako vektory infekce
Útočníci se silně spoléhají na QR kódy a klamavá vyskakovací okna s oznámeními, aby nalákali uživatele k instalaci škodlivých aplikací. Při přístupu z počítače se na phishingové stránce zobrazí QR kód, který návštěvníka vyzve k jeho naskenování zařízením Android. Tato technika přesměrování tlačí oběť k instalaci aplikace, která se prezentuje jako aplikace pro sledování zásilek nebo bezpečnostní ověření.
Pro další klamání phishingová stránka spouští sledovací PHP skript, který kontroluje uživatelského agenta prohlížeče. Na základě této kontroly se uživatelům zobrazují zprávy, které je vyzývají k instalaci tzv. bezpečnostního modulu, údajně nutného k dodržování „mezinárodních celních bezpečnostních zásad“. Toto sdělení má ospravedlnit požadavek na instalaci a snížit podezření.
Obcházení bezpečnostních varování systému Android
Protože Android omezuje instalace z neznámých zdrojů a zobrazuje výrazná varování, útočníci falešně tvrdí, že se jedná o oficiální a bezpečnou verzi. Tato taktika sociálního inženýrství tlačí na oběti, aby ignorovaly vestavěné ochrany a pokračovaly v instalaci navzdory varováním.
Řetězec doručování a provádění škodlivého souboru APK
Pokud oběť souhlasí, stáhne se ze serveru na adrese 27.102.137.181 soubor APK s názvem SecDelivery.apk. Po spuštění tento balíček dešifruje zašifrovaný soubor APK vložený do jeho vlastních zdrojů. Před aktivací datové části ověří, zda získal oprávnění ke správě externího úložiště, přístupu k internetu a instalaci dalších balíčků.
Po potvrzení oprávnění malware zaregistruje službu identifikovanou jako com.delivery.security.MainService a okamžitě spustí aktivitu, která se vydává za kontrolu identity založenou na OTP. Tato falešná ověřovací obrazovka požaduje doručovací číslo, které je v souboru APK pevně zakódováno jako 742938128549 a je pravděpodobně poskytnuto obětem během počátečního phishingového kroku.
Klamavé ověřování a tiché kompromitování
Po zadání čísla zásilky aplikace vygeneruje náhodný šestimístný ověřovací kód a zobrazí jej jako oznámení. Uživatel je poté vyzván k zadání tohoto kódu, což posiluje iluzi legitimního bezpečnostního procesu. Po dokončení aplikace otevře WebView odkazující na skutečnou stránku sledování CJ Logistics, takže aktivita vypadá autenticky.
Mezitím se škodlivá komponenta tiše připojuje k útočníkem ovládanému velitelskému a kontrolnímu serveru na adrese 27.102.137.181 na portu 50005. Od tohoto okamžiku nově nasazená varianta DocSwap funguje jako plnohodnotný trojský kůň pro vzdálený přístup.
Možnosti vzdáleného přístupu a krádež dat
Malware je schopen přijímat desítky příkazů od svých operátorů, což umožňuje rozsáhlý dohled a kontrolu nad infikovaným zařízením. Jeho funkce zahrnují schopnost zaznamenávat vstupy uživatelů, monitorovat komunikaci a extrahovat citlivé osobní údaje, čímž se napadený smartphone promění v mocný špionážní nástroj.
Trojanizované aplikace a rozšířená distribuce
Kromě falešné doručovací aplikace vědci identifikovali další škodlivé vzorky maskované jako aplikace P2B Airdrop a kompromitovanou verzi legitimního VPN produktu BYCOM VPN. Originální VPN aplikace je k dispozici na Google Play a je vyvinuta indickou společností Bycom Solutions. Analýza naznačuje, že Kimsuky vložil škodlivý kód do legitimního APK souboru a přepracoval jej pro použití v kampani.
Phishingová infrastruktura a sběr přihlašovacích údajů
Vyšetřování podpůrné infrastruktury odhalilo phishingové webové stránky napodobující populární jihokorejské platformy, jako jsou Naver a Kakao. Tyto stránky jsou navrženy tak, aby kradovaly uživatelské přihlašovací údaje, a vykazují překryvy s dřívějšími operacemi Kimsuky, které se konkrétně zaměřovaly na uživatele Naveru, což naznačuje opětovné použití a rozšíření zavedené infrastruktury.
Vyvíjející se design malwaru
Přestože nasazený malware stále spouští službu RAT podobnou předchozím nástrojům Kimsuky, vykazuje pozoruhodný vývoj. Použití nové nativní dešifrovací funkce pro vložený APK a zahrnutí více návnad naznačuje neustálý vývoj a snahu vyhnout se detekci a zároveň zvýšit efektivitu.
