תוכנה זדונית למובייל של DocSwap

שמירה על ערנות לאיומים ניידים מתפתחים חיונית, שכן גורמים הקשורים למדינה ממשיכים לשפר טכניקות של הנדסה חברתית והעברת תוכנות זדוניות. קמפיין שנערך לאחרונה המיוחס לקבוצה הצפון קוריאנית קימסוקי מדגיש כיצד תוקפים משלבים פישינג, קודי QR ואפליקציות אנדרואיד טרויאניות כדי לפגוע במכשירים של קורבנות.

נחשף קמפיין האנדרואיד האחרון של קימסוקי

חוקרי אבטחה קישרו את קימסוקי לפעולה חדשה המפיצה גרסה חדשה של תוכנה זדונית לאנדרואיד המכונה DocSwap. הקמפיין מנצל לרעה אתרי פישינג המתחזים לחברת הלוגיסטיקה הידועה CJ Logistics מסיאול, שנקראה בעבר CJ Korea Express. דפים מזויפים אלה נועדו להיראות אמינים ולכוון למשתמשים המצפים להודעות הקשורות למשלוח.

קודי QR והתראות מזויפות כמעבירי זיהום

התוקפים מסתמכים במידה רבה על קודי QR וחלונות קופצים מטעים כדי לפתות משתמשים להתקין יישומים זדוניים. כאשר ניגשים אליו ממערכת שולחנית, דף הפישינג מציג קוד QR המבקש מהמבקר לסרוק אותו באמצעות מכשיר אנדרואיד. טכניקת ניתוב מחדש זו דוחפת את הקורבן להתקין מה שמוצג כאפליקציית מעקב משלוחים או אימות אבטחה.

כדי להגביר את ההונאה, דף הפישינג מפעיל סקריפט PHP למעקב שבודק את סוכן המשתמש של הדפדפן. בהתבסס על בדיקה זו, מוצגות למשתמשים הודעות הקוראות להם להתקין מודול אבטחה, שכביכול נדרש כדי לעמוד ב"מדיניות אבטחה בינלאומית של המכס". נרטיב זה נועד להצדיק את בקשת ההתקנה ולהפחית את החשד.

עקיפת אזהרות אבטחה של אנדרואיד

מכיוון שאנדרואיד מגביל התקנות ממקורות לא ידועים ומציג אזהרות בולטות, גורמי האיום טוענים באופן שקרי שהאפליקציה היא מהדורה רשמית ובטוחה. טקטיקת הנדסה חברתית זו לוחצת על הקורבנות להתעלם מההגנות המובנות ולהמשיך בהתקנה למרות ההתראות.

שרשרת אספקה וביצוע של APK זדוני

אם הקורבן מסכים, קובץ APK בשם SecDelivery.apk יורד מהשרת בכתובת 27.102.137.181. לאחר ההפעלה, חבילה זו מפענחת קובץ APK מוצפן המוטמע במשאבים שלה. לפני הפעלת המטען, היא מאמתת שקיבלה הרשאות לניהול אחסון חיצוני, גישה לאינטרנט והתקנת חבילות נוספות.

לאחר אישור ההרשאות, הנוזקה רושמת שירות המזוהה כ-com.delivery.security.MainService ומפעילה מיד פעילות המתחזה לבדיקת זהות מבוססת OTP. מסך אימות מזויף זה מבקש מספר משלוח, המקודד קשיח ב-APK כ-742938128549 וסביר להניח שסופק לקורבנות במהלך שלב הפישינג הראשוני.

אימות מטעה ופשרה שקטה

עם הזנת מספר המשלוח, האפליקציה מייצרת קוד אימות אקראי בן שש ספרות ומציגה אותו כהודעה. לאחר מכן, המשתמש מתבקש להזין קוד זה, מה שמחזק את האשליה של תהליך אבטחה לגיטימי. לאחר השלמת הפעולה, האפליקציה פותחת WebView המצביע לדף המעקב המקורי של CJ Logistics, מה שגורם לפעילות להיראות אותנטית.

בינתיים, הרכיב הזדוני מתחבר בשקט לשרת פיקוד ובקרה הנשלט על ידי תוקף בכתובת 27.102.137.181 בפורט 50005. מנקודה זו, גרסת DocSwap החדשה שנפרסה פועלת כטרויאנית גישה מרחוק בעלת תכונות מלאות.

יכולות גישה מרחוק וגניבת נתונים

הנוזקה מסוגלת לקבל עשרות פקודות ממפעיליה, מה שמאפשר מעקב ובקרה נרחבים על המכשיר הנגוע. הפונקציונליות שלה כוללת את היכולת לתעד קלט משתמש, לנטר תקשורת ולחלץ נתונים אישיים רגישים, מה שהופך את הטלפון החכם שנפרץ לכלי ריגול רב עוצמה.

אפליקציות טרויאניות והרחבת הפצה

מעבר לאפליקציית המשלוחים המזויפת, חוקרים זיהו דגימות זדוניות נוספות שהתחזו לאפליקציית P2B Airdrop וגרסה פרוצה של מוצר VPN לגיטימי, BYCOM VPN. אפליקציית ה-VPN המקורית זמינה ב-Google Play ופותחה על ידי החברה ההודית Bycom Solutions. הניתוח מצביע על כך שקימסוקי הזריק קוד זדוני לקובץ ה-APK הלגיטימי וארז אותו מחדש לשימוש בקמפיין.

תשתית פישינג ואיסוף אישורים

חקירה של התשתית התומכת חשפה אתרי פישינג המחקים פלטפורמות דרום קוריאניות פופולריות כמו Naver ו-Kakao. אתרים אלה נועדו לגנוב פרטי משתמש ומראים חפיפות עם פעולות קודמות של Kimsuky שכוונו ספציפית למשתמשי Naver, דבר המצביע על שימוש חוזר והרחבה של התשתית הקיימת.

עיצוב תוכנות זדוניות מתפתח

בעוד שהנוזקה שנפרסה עדיין משיקה שירות RAT בדומה לכלי קימסוקי קודמים, היא מפגינה התפתחות ניכרת. השימוש בפונקציית פענוח מקורית חדשה עבור ה-APK המוטמע והכללת מספר התנהגויות פיתוי מצביעים על פיתוח מתמשך ומאמץ להתחמק מגילוי תוך הגברת האפקטיביות.