DocSwap mobil malware
Det er vigtigt at være opmærksom på nye mobiltrusler, da statslige aktører fortsætter med at forfine social engineering og teknikker til levering af malware. En nylig kampagne tilskrevet den nordkoreanske gruppe Kimsuky fremhæver, hvordan angribere blander phishing, QR-koder og trojanske Android-apps for at kompromittere ofrenes enheder.
Indholdsfortegnelse
Kimsukys seneste Android-kampagne afsløret
Sikkerhedsforskere har forbundet Kimsuky med en ny operation, der distribuerer en ny Android-malwarevariant kendt som DocSwap. Kampagnen misbruger phishing-websteder, der udgiver sig for at være den velkendte Seoul-baserede logistikvirksomhed CJ Logistics, tidligere kaldet CJ Korea Express. Disse falske sider er designet til at virke troværdige og målrette brugere, der forventer forsendelsesrelaterede meddelelser.
QR-koder og falske advarsler som infektionsvektorer
Angriberne bruger i høj grad QR-koder og vildledende pop op-meddelelser til at lokke brugere til at installere ondsindede programmer. Når phishing-siden tilgås fra en desktop-computer, viser den en QR-kode, der beder den besøgende om at scanne den med en Android-enhed. Denne omdirigeringsteknik får offeret til at installere det, der præsenteres som en app til sporing af forsendelser eller sikkerhedsbekræftelse.
For at yderligere forfølge bedraget kører phishing-siden et PHP-sporingsscript, der inspicerer browserens brugeragent. Baseret på denne kontrol får brugerne vist beskeder, der opfordrer dem til at installere et såkaldt sikkerhedsmodul, som angiveligt er påkrævet for at overholde 'internationale toldsikkerhedspolitikker'. Denne fortælling har til formål at retfærdiggøre installationsanmodningen og mindske mistanken.
Omgåelse af Android-sikkerhedsadvarsler
Fordi Android begrænser installationer fra ukendte kilder og viser tydelige advarsler, hævder trusselsaktørerne fejlagtigt, at appen er en officiel og sikker udgivelse. Denne social engineering-taktik presser ofrene til at ignorere indbyggede beskyttelser og fortsætte installationen på trods af advarslerne.
Leverings- og udførelseskæde for skadelig APK
Hvis offeret accepterer, downloades en APK ved navn SecDelivery.apk fra serveren på 27.102.137.181. Når den er startet, dekrypterer denne pakke en krypteret APK, der er integreret i dens egne ressourcer. Før den aktiverer nyttelasten, verificerer den, at den har fået tilladelser til at administrere ekstern lagring, få adgang til internettet og installere yderligere pakker.
Når tilladelserne er bekræftet, registrerer malwaren en tjeneste identificeret som com.delivery.security.MainService og starter straks en aktivitet, der udgiver sig for at være en OTP-baseret identitetskontrol. Denne falske godkendelsesskærm anmoder om et leveringsnummer, som er hardkodet i APK'en som 742938128549 og sandsynligvis leveres til ofrene under det indledende phishing-trin.
Vildledende godkendelse og tavs kompromis
Når leveringsnummeret er indtastet, genererer appen en tilfældig sekscifret bekræftelseskode og viser den som en notifikation. Brugeren bliver derefter bedt om at indtaste denne kode, hvilket forstærker illusionen af en legitim sikkerhedsproces. Når det er færdigt, åbner appen en WebView, der peger på den ægte CJ Logistics-sporingsside, hvilket får aktiviteten til at se autentisk ud.
I mellemtiden opretter den ondsindede komponent lydløst forbindelse til en angriberkontrolleret kommando- og kontrolserver på 27.102.137.181 på port 50005. Fra dette tidspunkt fungerer den nyligt implementerede DocSwap-variant som en fuldt udstyret fjernadgangstrojaner.
Fjernadgangsfunktioner og datatyveri
Malwaren er i stand til at modtage snesevis af kommandoer fra sine operatører, hvilket muliggør omfattende overvågning og kontrol over den inficerede enhed. Dens funktionalitet omfatter muligheden for at logge brugerinput, overvåge kommunikation og udtrække følsomme personoplysninger, hvilket forvandler den kompromitterede smartphone til et kraftfuldt spionageværktøj.
Trojaniserede apps og udvidet distribution
Ud over den falske leveringsapp identificerede forskerne yderligere ondsindede eksempler, der forklædte sig som en P2B Airdrop-applikation, og en kompromitteret version af et legitimt VPN-produkt, BYCOM VPN. Den ægte VPN-app er tilgængelig på Google Play og er udviklet af det indiske firma Bycom Solutions. Analysen tyder på, at Kimsuky injicerede ondsindet kode i den legitime APK og ompakkede den til brug i kampagnen.
Phishing-infrastruktur og indsamling af legitimationsoplysninger
Undersøgelse af den understøttende infrastruktur afslørede phishing-websteder, der imiterede populære sydkoreanske platforme som Naver og Kakao. Disse websteder er designet til at stjæle brugeroplysninger og viser overlap med tidligere Kimsuky-operationer, der specifikt var rettet mod Naver-brugere, hvilket tyder på genbrug og udvidelse af den etablerede infrastruktur.
Udviklende malware-design
Selvom den implementerede malware stadig lancerer en RAT-tjeneste, der ligner tidligere Kimsuky-værktøjer, viser den en bemærkelsesværdig udvikling. Brugen af en ny, indbygget dekrypteringsfunktion til den integrerede APK og inkluderingen af flere lokkeadfærd indikerer løbende udvikling og en indsats for at undgå opdagelse, samtidig med at effektiviteten øges.
