Κακόβουλο λογισμικό DocSwap για κινητά
Η επαγρύπνηση για τις εξελισσόμενες απειλές για κινητά είναι απαραίτητη, καθώς οι κρατικοί φορείς συνεχίζουν να βελτιώνουν τις τεχνικές κοινωνικής μηχανικής και διανομής κακόβουλου λογισμικού. Μια πρόσφατη εκστρατεία που αποδίδεται στην βορειοκορεατική ομάδα Kimsuky υπογραμμίζει τον τρόπο με τον οποίο οι εισβολείς συνδυάζουν το ηλεκτρονικό ψάρεμα (phishing), τους κωδικούς QR και τις εφαρμογές Android που έχουν μολυνθεί με trojan για να θέσουν σε κίνδυνο τις συσκευές των θυμάτων.
Πίνακας περιεχομένων
Αποκαλύφθηκε η τελευταία καμπάνια της Kimsuky για Android
Ερευνητές ασφαλείας έχουν συνδέσει την Kimsuky με μια νέα επιχείρηση που διανέμει μια νέα παραλλαγή κακόβουλου λογισμικού για Android, γνωστή ως DocSwap. Η καμπάνια καταχράται ιστοσελίδες ηλεκτρονικού "ψαρέματος" (phishing) που μιμούνται την γνωστή εταιρεία logistics CJ Logistics με έδρα τη Σεούλ, η οποία παλαιότερα ονομαζόταν CJ Korea Express. Αυτές οι ψεύτικες σελίδες έχουν σχεδιαστεί για να φαίνονται αξιόπιστες και στοχεύουν χρήστες που περιμένουν ειδοποιήσεις σχετικά με αποστολές.
Κωδικοί QR και ψεύτικες ειδοποιήσεις ως φορείς μόλυνσης
Οι εισβολείς βασίζονται σε μεγάλο βαθμό σε κωδικούς QR και παραπλανητικά αναδυόμενα παράθυρα ειδοποιήσεων για να παρασύρουν τους χρήστες να εγκαταστήσουν κακόβουλες εφαρμογές. Όταν η πρόσβαση γίνεται από έναν επιτραπέζιο υπολογιστή, η σελίδα ηλεκτρονικού "ψαρέματος" (phishing) εμφανίζει έναν κωδικό QR που ζητά από τον επισκέπτη να τη σαρώσει με μια συσκευή Android. Αυτή η τεχνική ανακατεύθυνσης ωθεί το θύμα να εγκαταστήσει αυτό που παρουσιάζεται ως εφαρμογή παρακολούθησης αποστολών ή επαλήθευσης ασφαλείας.
Για να ενισχύσει την εξαπάτηση, η σελίδα ηλεκτρονικού "ψαρέματος" (phishing) εκτελεί ένα σενάριο παρακολούθησης PHP που ελέγχει τον παράγοντα χρήστη (User-Agent) του προγράμματος περιήγησης. Με βάση αυτόν τον έλεγχο, στους χρήστες εμφανίζονται μηνύματα που τους προτρέπουν να εγκαταστήσουν μια λεγόμενη ενότητα ασφαλείας, η οποία υποτίθεται ότι απαιτείται για τη συμμόρφωση με τις «διεθνείς πολιτικές ασφάλειας των τελωνείων». Αυτή η αφήγηση έχει σκοπό να δικαιολογήσει το αίτημα εγκατάστασης και να μειώσει τις υποψίες.
Παράκαμψη προειδοποιήσεων ασφαλείας Android
Επειδή το Android περιορίζει τις εγκαταστάσεις από άγνωστες πηγές και εμφανίζει εμφανείς προειδοποιήσεις, οι απειλητικοί παράγοντες ισχυρίζονται ψευδώς ότι η εφαρμογή είναι μια επίσημη και ασφαλής έκδοση. Αυτή η τακτική κοινωνικής μηχανικής πιέζει τα θύματα να αγνοήσουν τις ενσωματωμένες προστασίες και να προχωρήσουν με την εγκατάσταση παρά τις ειδοποιήσεις.
Αλυσίδα παράδοσης και εκτέλεσης κακόβουλου APK
Εάν το θύμα συμφωνήσει, ένα APK με το όνομα SecDelivery.apk λαμβάνεται από τον διακομιστή στη διεύθυνση 27.102.137.181. Μόλις εκκινηθεί, αυτό το πακέτο αποκρυπτογραφεί ένα κρυπτογραφημένο APK που είναι ενσωματωμένο στους δικούς του πόρους. Πριν από την ενεργοποίηση του ωφέλιμου φορτίου, επαληθεύει ότι έχει λάβει δικαιώματα για τη διαχείριση εξωτερικού χώρου αποθήκευσης, την πρόσβαση στο διαδίκτυο και την εγκατάσταση πρόσθετων πακέτων.
Αφού επιβεβαιωθούν τα δικαιώματα, το κακόβουλο λογισμικό καταγράφει μια υπηρεσία που αναγνωρίζεται ως com.delivery.security.MainService και ξεκινά αμέσως μια δραστηριότητα που παρουσιάζεται ως έλεγχος ταυτότητας που βασίζεται σε OTP. Αυτή η ψεύτικη οθόνη ελέγχου ταυτότητας ζητά έναν αριθμό παράδοσης, ο οποίος είναι κωδικοποιημένος στο APK ως 742938128549 και πιθανότατα παρέχεται στα θύματα κατά το αρχικό βήμα ηλεκτρονικού "ψαρέματος" (phishing).
Παραπλανητική Ταυτοποίηση και Σιωπηρή Παραβίαση
Μόλις εισαγάγει τον αριθμό παράδοσης, η εφαρμογή δημιουργεί έναν τυχαίο εξαψήφιο κωδικό επαλήθευσης και τον εμφανίζει ως ειδοποίηση. Στη συνέχεια, ο χρήστης καλείται να εισαγάγει αυτόν τον κωδικό, ενισχύοντας την ψευδαίσθηση μιας νόμιμης διαδικασίας ασφαλείας. Μόλις ολοκληρωθεί, η εφαρμογή ανοίγει ένα WebView που δείχνει προς τη γνήσια σελίδα παρακολούθησης της CJ Logistics, κάνοντας τη δραστηριότητα να φαίνεται αυθεντική.
Εν τω μεταξύ, το κακόβουλο στοιχείο συνδέεται σιωπηλά με έναν διακομιστή εντολών και ελέγχου που ελέγχεται από τον εισβολέα στη διεύθυνση 27.102.137.181 στη θύρα 50005. Από αυτό το σημείο, η πρόσφατα αναπτυγμένη παραλλαγή DocSwap λειτουργεί ως ένα πλήρως εξοπλισμένο trojan απομακρυσμένης πρόσβασης.
Δυνατότητες απομακρυσμένης πρόσβασης και κλοπή δεδομένων
Το κακόβουλο λογισμικό είναι ικανό να λαμβάνει δεκάδες εντολές από τους χειριστές του, επιτρέποντας εκτεταμένη επιτήρηση και έλεγχο της μολυσμένης συσκευής. Η λειτουργικότητά του περιλαμβάνει τη δυνατότητα καταγραφής των εντολών του χρήστη, παρακολούθησης των επικοινωνιών και εξαγωγής ευαίσθητων προσωπικών δεδομένων, μετατρέποντας το παραβιασμένο smartphone σε ένα ισχυρό εργαλείο κατασκοπείας.
Εφαρμογές που έχουν υποστεί Trojan και εκτεταμένη διανομή
Πέρα από την ψεύτικη εφαρμογή παράδοσης, οι ερευνητές εντόπισαν επιπλέον κακόβουλα δείγματα που μεταμφιέζονταν σε εφαρμογή P2B Airdrop και σε μια παραβιασμένη έκδοση ενός νόμιμου προϊόντος VPN, του BYCOM VPN. Η γνήσια εφαρμογή VPN είναι διαθέσιμη στο Google Play και έχει αναπτυχθεί από την ινδική εταιρεία Bycom Solutions. Η ανάλυση δείχνει ότι η Kimsuky εισήγαγε κακόβουλο κώδικα στο νόμιμο APK και τον ανασυσκεύασε για χρήση στην καμπάνια.
Υποδομή ηλεκτρονικού “ψαρέματος” (phishing) και συλλογή διαπιστευτηρίων
Η έρευνα στην υποστηρικτική υποδομή αποκάλυψε ιστότοπους ηλεκτρονικού "ψαρέματος" (phishing) που μιμούνταν δημοφιλείς νοτιοκορεατικές πλατφόρμες όπως η Naver και η Kakao. Αυτοί οι ιστότοποι έχουν σχεδιαστεί για να κλέβουν διαπιστευτήρια χρηστών και να εμφανίζουν επικαλύψεις με προηγούμενες επιχειρήσεις του Kimsuky που στόχευαν ειδικά χρήστες του Naver, υποδηλώνοντας επαναχρησιμοποίηση και επέκταση της καθιερωμένης υποδομής.
Εξελισσόμενος σχεδιασμός κακόβουλου λογισμικού
Ενώ το κακόβουλο λογισμικό που έχει αναπτυχθεί εξακολουθεί να εκκινεί μια υπηρεσία RAT παρόμοια με τα προηγούμενα εργαλεία της Kimsuky, παρουσιάζει αξιοσημείωτη εξέλιξη. Η χρήση μιας νέας εγγενούς λειτουργίας αποκρυπτογράφησης για το ενσωματωμένο APK και η συμπερίληψη πολλαπλών συμπεριφορών παραπλάνησης υποδηλώνουν συνεχή ανάπτυξη και μια προσπάθεια αποφυγής της ανίχνευσης, αυξάνοντας παράλληλα την αποτελεσματικότητα.
