بدافزار موبایل DocSwap

هوشیار بودن در برابر تهدیدات موبایلی در حال تکامل ضروری است، زیرا عوامل وابسته به دولت همچنان به اصلاح تکنیک‌های مهندسی اجتماعی و ارائه بدافزار ادامه می‌دهند. یک کمپین اخیر که به گروه کره شمالی کیمسوکی نسبت داده می‌شود، نشان می‌دهد که چگونه مهاجمان از فیشینگ، کدهای QR و برنامه‌های اندروید تروجان‌دار برای به خطر انداختن دستگاه‌های قربانیان استفاده می‌کنند.

آخرین کمپین اندرویدی کیمسوکی کشف شد

محققان امنیتی، کیمسوکی را به عملیات جدیدی که در حال توزیع یک نوع بدافزار اندرویدی جدید به نام DocSwap است، مرتبط دانسته‌اند. این کمپین از وب‌سایت‌های فیشینگ که خود را به جای شرکت لجستیکی معروف CJ Logistics مستقر در سئول که قبلاً CJ Korea Express نام داشت، جا می‌زنند، سوءاستفاده می‌کند. این صفحات جعلی به گونه‌ای طراحی شده‌اند که قابل اعتماد به نظر برسند و کاربرانی را که انتظار اعلان‌های مربوط به حمل و نقل را دارند، هدف قرار دهند.

کدهای QR و هشدارهای جعلی به عنوان بردارهای عفونت

مهاجمان به شدت به کدهای QR و پنجره‌های اعلان فریبنده برای ترغیب کاربران به نصب برنامه‌های مخرب متکی هستند. هنگام دسترسی از طریق سیستم دسکتاپ، صفحه فیشینگ یک کد QR را نمایش می‌دهد که از بازدیدکننده می‌خواهد آن را با یک دستگاه اندروید اسکن کند. این تکنیک تغییر مسیر، قربانی را به سمت نصب چیزی که به عنوان یک برنامه ردیابی حمل و نقل یا تأیید امنیت ارائه می‌شود، سوق می‌دهد.

برای پیشبرد فریب، صفحه فیشینگ یک اسکریپت PHP ردیابی را اجرا می‌کند که User-Agent مرورگر را بررسی می‌کند. بر اساس این بررسی، به کاربران پیام‌هایی نشان داده می‌شود که از آنها خواسته می‌شود یک ماژول امنیتی به اصطلاح را نصب کنند که ظاهراً برای رعایت «سیاست‌های امنیتی گمرکی بین‌المللی» لازم است. این روایت برای توجیه درخواست نصب و کاهش سوءظن در نظر گرفته شده است.

دور زدن هشدارهای امنیتی اندروید

از آنجا که اندروید نصب از منابع ناشناخته را محدود می‌کند و هشدارهای برجسته‌ای را نمایش می‌دهد، عاملان تهدید به دروغ ادعا می‌کنند که این برنامه یک نسخه رسمی و ایمن است. این تاکتیک مهندسی اجتماعی، قربانیان را تحت فشار قرار می‌دهد تا محافظت‌های داخلی را نادیده بگیرند و با وجود هشدارها، نصب را ادامه دهند.

زنجیره تحویل و اجرای APK مخرب

اگر قربانی موافقت کند، یک APK با نام SecDelivery.apk از سرور با آدرس ۲۷.۱۰۲.۱۳۷.۱۸۱ دانلود می‌شود. پس از اجرا، این بسته، یک APK رمزگذاری‌شده که در منابع خود جاسازی شده است را رمزگشایی می‌کند. قبل از فعال کردن payload، تأیید می‌کند که مجوزهای لازم برای مدیریت حافظه خارجی، دسترسی به اینترنت و نصب بسته‌های اضافی را دریافت کرده است.

پس از تأیید مجوزها، بدافزار سرویسی را با نام com.delivery.security.MainService ثبت می‌کند و بلافاصله فعالیتی را آغاز می‌کند که خود را به عنوان یک بررسی هویت مبتنی بر OTP معرفی می‌کند. این صفحه احراز هویت جعلی، یک شماره تحویل را درخواست می‌کند که در APK به صورت ۷۴۲۹۳۸۱۲۸۵۴۹ کدگذاری شده است و احتمالاً در مرحله اولیه فیشینگ به قربانیان ارائه می‌شود.

احراز هویت فریبنده و سازش خاموش

پس از وارد کردن شماره تحویل، برنامه یک کد تأیید شش رقمی تصادفی تولید می‌کند و آن را به عنوان یک اعلان نمایش می‌دهد. سپس از کاربر خواسته می‌شود که این کد را وارد کند و این توهم یک فرآیند امنیتی مشروع را تقویت می‌کند. پس از تکمیل، برنامه یک WebView را باز می‌کند که به صفحه ردیابی واقعی CJ Logistics اشاره می‌کند و باعث می‌شود فعالیت معتبر به نظر برسد.

در همین حال، این مؤلفه‌ی مخرب بی‌سروصدا به یک سرور فرمان و کنترل تحت کنترل مهاجم در آدرس ۲۷.۱۰۲.۱۳۷.۱۸۱ روی پورت ۵۰۰۰۵ متصل می‌شود. از این نقطه، گونه‌ی جدید DocSwap به عنوان یک تروجان دسترسی از راه دور با تمام امکانات عمل می‌کند.

قابلیت‌های دسترسی از راه دور و سرقت داده‌ها

این بدافزار قادر به دریافت ده‌ها دستور از اپراتورهای خود است که امکان نظارت و کنترل گسترده بر دستگاه آلوده را فراهم می‌کند. قابلیت‌های آن شامل توانایی ثبت ورودی کاربر، نظارت بر ارتباطات و استخراج اطلاعات شخصی حساس است و تلفن هوشمند آسیب‌دیده را به یک ابزار جاسوسی قدرتمند تبدیل می‌کند.

برنامه‌های آلوده به تروجان و توزیع گسترده

فراتر از برنامه تحویل جعلی، محققان نمونه‌های مخرب دیگری را شناسایی کردند که خود را به عنوان یک برنامه Airdrop P2B و یک نسخه آسیب‌دیده از یک محصول VPN قانونی، BYCOM VPN، جا می‌زدند. برنامه VPN واقعی در Google Play موجود است و توسط شرکت هندی Bycom Solutions توسعه داده شده است. تجزیه و تحلیل نشان می‌دهد که کیمسوکی کد مخرب را به APK قانونی تزریق کرده و آن را برای استفاده در این کمپین مجدداً بسته‌بندی کرده است.

زیرساخت فیشینگ و جمع‌آوری اطلاعات محرمانه

تحقیقات در مورد زیرساخت‌های پشتیبانی، وب‌سایت‌های فیشینگی را نشان داد که از پلتفرم‌های محبوب کره جنوبی مانند Naver و Kakao تقلید می‌کردند. این سایت‌ها برای سرقت اطلاعات کاربران طراحی شده‌اند و با عملیات قبلی کیمسوکی که به‌طور خاص کاربران Naver را هدف قرار داده بود، همپوشانی دارند که نشان‌دهنده استفاده مجدد و گسترش زیرساخت‌های موجود است.

طراحی بدافزار در حال تکامل

اگرچه این بدافزار مستقر شده هنوز یک سرویس RAT مشابه ابزارهای قبلی Kimsuky راه‌اندازی می‌کند، اما تکامل قابل توجهی را نشان می‌دهد. استفاده از یک تابع رمزگشایی بومی جدید برای APK تعبیه شده و گنجاندن رفتارهای فریبنده متعدد، نشان دهنده توسعه مداوم و تلاش برای فرار از شناسایی و در عین حال افزایش اثربخشی است.