DocSwapi mobiilne pahavara
Kuna riiklike rühmitustega on pidevalt vaja täiustada sotsiaalse manipuleerimise ja pahavara levitamise tehnikaid, on oluline olla valvas mobiilseadmetes pidevalt arenevate ohtude suhtes. Hiljutine Põhja-Korea rühmitusele Kimsuky omistatud kampaania toob esile, kuidas ründajad segavad andmepüüki, QR-koode ja troojalastega nakatunud Androidi rakendusi ohvrite seadmete ohtu seadmiseks.
Sisukord
Kimsuky uusim Androidi kampaania paljastatud
Turvauurijad on seostanud Kimsukyt uue operatsiooniga, mis levitab uut Androidi pahavara varianti, mida tuntakse DocSwapina. Kampaania kuritarvitab andmepüügiveebisaite, mis teesklevad tuntud Soulis asuvat logistikaettevõtet CJ Logistics, endise nimega CJ Korea Express. Need võltsitud lehed on loodud usaldusväärsena näima ja sihtivad kasutajaid, kes ootavad saadetistega seotud teateid.
QR-koodid ja võltsteated nakkusvektoritena
Ründajad toetuvad suuresti QR-koodidele ja petlikele hüpikakendele, et meelitada kasutajaid pahatahtlikke rakendusi installima. Lauaarvutist avamisel kuvab andmepüügileht QR-koodi, mis palub külastajal seda Android-seadmega skannida. See ümbersuunamistehnika suunab ohvrit installima midagi, mida esitletakse saadetise jälgimise või turvalisuse kontrollimise rakendusena.
Pettuse edasiseks edendamiseks käivitab andmepüügileht jälgimis-PHP-skripti, mis kontrollib brauseri kasutajaagenti. Selle kontrolli põhjal kuvatakse kasutajatele sõnumeid, mis kutsuvad neid üles installima niinimetatud turvamoodulit, mis väidetavalt on vajalik „rahvusvaheliste tollijulgeolekupoliitikate” järgimiseks. Selle narratiivi eesmärk on õigustada installimistaotlust ja vähendada kahtlust.
Androidi turvahoiatuste möödahiilimine
Kuna Android piirab tundmatutest allikatest pärit installimist ja kuvab silmapaistvaid hoiatusi, väidavad pahatahtlikud isikud ekslikult, et rakendus on ametlik ja turvaline väljalase. See sotsiaalse manipuleerimise taktika avaldab ohvritele survet sisseehitatud kaitsemeetmeid ignoreerida ja installimisega jätkata hoolimata hoiatustest.
Pahatahtliku APK-de edastus- ja täitmisahel
Kui ohver nõustub, laaditakse serverist aadressilt 27.102.137.181 alla APK nimega SecDelivery.apk. Pärast käivitamist dekrüpteerib see pakett oma ressurssidesse manustatud krüptitud APK. Enne kasuliku koormuse aktiveerimist kontrollib see, kas sellel on õigused välise salvestusruumi haldamiseks, internetiühenduse loomiseks ja täiendavate pakettide installimiseks.
Pärast lubade kinnitamist registreerib pahavara teenuse nimega com.delivery.security.MainService ja käivitab kohe tegevuse, mis teeskleb OTP-põhise identiteedikontrolli. See võltsitud autentimiskuva küsib kohaletoimetamise numbrit, mis on APK-sse kõvakodeeritud kui 742938128549 ja mis edastatakse ohvritele tõenäoliselt esialgse andmepüügietapi käigus.
Petlik autentimine ja vaikne kompromiteerimine
Kohaletoimetamise numbri sisestamisel genereerib rakendus juhusliku kuuekohalise kinnituskoodi ja kuvab selle teavitusena. Seejärel palutakse kasutajal see kood sisestada, mis tugevdab illusiooni seaduslikust turvaprotsessist. Kui see on lõpule viidud, avab rakendus WebView'i, mis osutab ehtsale CJ Logisticsi jälgimislehele, muutes tegevuse autentseks.
Samal ajal loob pahatahtlik komponent vaikselt ühenduse ründaja kontrollitava käsklus- ja kontrollserveriga aadressil 27.102.137.181 pordi 50005 kaudu. Sellest hetkest alates töötab äsja juurutatud DocSwapi variant täisfunktsionaalse kaugjuurdepääsu troojana.
Kaugjuurdepääsu võimalused ja andmete vargus
Pahavara suudab oma operaatoritelt vastu võtta kümneid käske, mis võimaldab nakatunud seadme ulatuslikku jälgimist ja kontrolli. Selle funktsioonide hulka kuulub kasutaja sisendi logimine, suhtluse jälgimine ja tundlike isikuandmete hankimine, muutes nakatunud nutitelefoni võimsaks spionaaživahendiks.
Trooja nakatatud rakendused ja laiendatud levik
Lisaks võltsitud kohaletoimetamisrakendusele tuvastasid teadlased ka pahatahtlikke näidiseid, mis maskeerusid P2B Airdropi rakenduseks ja legitiimse VPN-toote BYCOM VPN ohustatud versiooniks. Ehtne VPN-rakendus on saadaval Google Plays ja selle on välja töötanud India ettevõte Bycom Solutions. Analüüs näitab, et Kimsuky süstis legitiimsele APK-le pahatahtlikku koodi ja pakendas selle kampaanias kasutamiseks ümber.
Andmepüügi infrastruktuur ja volituste kogumine
Toetava infrastruktuuri uurimine paljastas andmepüügiveebisaidid, mis jäljendasid populaarseid Lõuna-Korea platvorme, nagu Naver ja Kakao. Need saidid on loodud kasutajate volituste varastamiseks ja näitavad kattumisi varasemate Kimsuky operatsioonidega, mis olid spetsiaalselt suunatud Naveri kasutajatele, mis viitab olemasoleva infrastruktuuri taaskasutamisele ja laiendamisele.
Arenev pahavara disain
Kuigi juurutatud pahavara käivitab endiselt RAT-teenuse, mis sarnaneb eelmiste Kimsuky tööriistadega, näitab see märkimisväärset arengut. Uue natiivse dekrüpteerimisfunktsiooni kasutamine manustatud APK-s ja mitmete peibutuskäitumiste lisamine viitab pidevale arendusele ja püüdlusele avastamist vältida, suurendades samal ajal tõhusust.
