DocSwap-mobiilihaittaohjelma
Valppaana pysyminen kehittyvien mobiiliuhkien varalta on tärkeää, sillä valtioihin kytköksissä olevat toimijat jatkavat sosiaalisen manipuloinnin ja haittaohjelmien jakelutekniikoiden hiomista. Pohjois-Korean Kimsuky-ryhmään liittyvä hiljattain toteutettu kampanja korostaa, kuinka hyökkääjät yhdistävät tietojenkalasteluhyökkäyksiä, QR-koodeja ja troijalaisia Android-sovelluksia vaarantaakseen uhrien laitteet.
Sisällysluettelo
Kimsukyn uusin Android-kampanja paljastettu
Tietoturvatutkijat ovat yhdistäneet Kimsukyn uuteen operaatioon, joka levittää uutta Android-haittaohjelmavarianttia nimeltä DocSwap. Kampanja väärinkäyttää tietojenkalastelusivustoja, jotka tekeytyvät tunnetuksi Soulissa toimivaksi logistiikkayritykseksi CJ Logistics, aiemmin nimeltään CJ Korea Express. Nämä väärennetyt sivut on suunniteltu vaikuttamaan luotettavilta ja kohdistamaan ne käyttäjiin, jotka odottavat lähetyksiin liittyviä ilmoituksia.
QR-koodit ja väärennetyt hälytykset tartuntavektoreina
Hyökkääjät luottavat vahvasti QR-koodeihin ja harhaanjohtaviin ilmoitusikkunoihin houkutellakseen käyttäjiä asentamaan haitallisia sovelluksia. Kun tietojenkalastelusivulle avataan työpöytäjärjestelmä, se näyttää QR-koodin, joka kehottaa kävijää skannaamaan sen Android-laitteella. Tämä uudelleenohjaustekniikka ohjaa uhria asentamaan sovelluksen, jota esitetään lähetyksen seuranta- tai turvallisuuden varmennussovelluksena.
Harhautuksen lisäämiseksi tietojenkalastelusivu suorittaa PHP-seurantaskriptin, joka tarkistaa selaimen käyttäjäagenttia. Tämän tarkistuksen perusteella käyttäjille näytetään viestejä, joissa heitä kehotetaan asentamaan niin sanottu suojausmoduuli, jonka oletetaan olevan välttämätön "kansainvälisten tulliturvallisuuskäytäntöjen" noudattamiseksi. Tämän kertomuksen tarkoituksena on perustella asennuspyyntö ja vähentää epäilyksiä.
Android-tietoturvavaroitusten ohittaminen
Koska Android rajoittaa asennuksia tuntemattomista lähteistä ja näyttää näkyviä varoituksia, uhkaajat väittävät virheellisesti, että sovellus on virallinen ja turvallinen julkaisu. Tämä sosiaalisen manipuloinnin taktiikka painostaa uhreja jättämään sisäänrakennetut suojaukset huomiotta ja jatkamaan asennusta varoituksista huolimatta.
Haitallisen APK:n toimitus- ja suoritusketju
Jos uhri suostuu, palvelimelta osoitteesta 27.102.137.181 ladataan SecDelivery.apk-niminen APK-tiedosto. Käynnistyksen jälkeen tämä paketti purkaa omiin resursseihinsa upotetun salatun APK-tiedoston salauksen. Ennen hyötykuorman aktivointia se varmistaa, että sillä on oikeudet hallita ulkoista tallennustilaa, käyttää internetiä ja asentaa lisäpaketteja.
Kun käyttöoikeudet on vahvistettu, haittaohjelma rekisteröi palvelun nimeltä com.delivery.security.MainService ja käynnistää välittömästi toiminnon, joka tekeytyy OTP-pohjaiseksi henkilöllisyyden tarkistukseksi. Tämä tekaistu todennusnäyttö pyytää toimitusnumeroa, joka on kovakoodattu APK:hon nimellä 742938128549 ja joka todennäköisesti annetaan uhreille tietojenkalasteluhyökkäyksen alkuvaiheessa.
Petollinen todennus ja hiljainen tietomurto
Kun toimitusnumero syötetään, sovellus luo satunnaisen kuusinumeroisen vahvistuskoodin ja näyttää sen ilmoituksena. Käyttäjää pyydetään sitten syöttämään tämä koodi, mikä vahvistaa illuusiota aidosta turvaprosessista. Kun se on valmis, sovellus avaa WebView'n, joka osoittaa aidolle CJ Logisticsin seurantasivulle, jolloin toiminta näyttää aidolta.
Samaan aikaan haitallinen komponentti muodostaa hiljaa yhteyden hyökkääjän hallitsemaan komento- ja hallintapalvelimeen osoitteessa 27.102.137.181 portissa 50005. Tästä eteenpäin äskettäin käyttöön otettu DocSwap-variantti toimii täysimittaisena etäkäyttötroijalaisena.
Etäkäyttöominaisuudet ja tietovarkaudet
Haittaohjelma pystyy vastaanottamaan kymmeniä komentoja käyttäjilleen, mikä mahdollistaa tartunnan saaneen laitteen laajan valvonnan ja hallinnan. Sen toimintoihin kuuluu käyttäjän syötteiden kirjaaminen, viestinnän valvonta ja arkaluonteisten henkilötietojen poimiminen, mikä tekee vaarantuneesta älypuhelimesta tehokkaan vakoilutyökalun.
Troijalaiset sovellukset ja niiden leviämisen laajeneminen
Väärennetyn toimitussovelluksen lisäksi tutkijat tunnistivat muita haitallisia esimerkkejä, jotka naamioituivat P2B Airdrop -sovellukseksi ja vaarantuneeksi versioksi laillisesta VPN-tuotteesta, BYCOM VPN:stä. Aito VPN-sovellus on saatavilla Google Playsta, ja sen on kehittänyt intialainen Bycom Solutions. Analyysi osoittaa, että Kimsuky on lisännyt haitallista koodia lailliseen APK:hon ja pakkannut sen uudelleen kampanjaa varten.
Tietojenkalasteluinfrastruktuuri ja tunnistetietojen keruu
Tuki-infrastruktuurin tutkinta paljasti tietojenkalastelusivustoja, jotka jäljittelivät suosittuja eteläkorealaisia alustoja, kuten Naveria ja Kakaota. Nämä sivustot on suunniteltu varastamaan käyttäjien tunnistetietoja, ja niillä on päällekkäisyyksiä aiempien Kimsukyn toimintojen kanssa, jotka kohdistuivat erityisesti Naverin käyttäjiin, mikä viittaa olemassa olevan infrastruktuurin uudelleenkäyttöön ja laajentamiseen.
Kehittyvä haittaohjelmien suunnittelu
Vaikka levitetty haittaohjelma käynnistää edelleen RAT-palvelun, joka on samanlainen kuin aiemmat Kimsuky-työkalut, se osoittaa huomattavaa kehitystä. Uuden natiivin salauksenpurkutoiminnon käyttö upotetussa APK:ssa ja useiden harhautustoimintojen sisällyttäminen osoittavat jatkuvaa kehitystä ja pyrkimystä välttää havaitseminen samalla tehokkuutta parantaen.
