DocSwap mobilni zlonamjerni softver
Održavanje budnosti prema rastućim mobilnim prijetnjama ključno je, jer akteri povezani s državom nastavljaju usavršavati tehnike društvenog inženjeringa i isporuke zlonamjernog softvera. Nedavna kampanja koja se pripisuje sjevernokorejskoj skupini Kimsuky ističe kako napadači kombiniraju phishing, QR kodove i trojanske Android aplikacije kako bi kompromitirali uređaje žrtava.
Sadržaj
Otkrivena Kimsukyjeva najnovija Android kampanja
Sigurnosni istraživači povezali su Kimsuky s novom operacijom koja distribuira novu varijantu zlonamjernog softvera za Android poznatu kao DocSwap. Kampanja zloupotrebljava phishing web stranice koje se lažno predstavljaju kao poznata logistička tvrtka CJ Logistics sa sjedištem u Seulu, ranije poznata kao CJ Korea Express. Ove lažne stranice dizajnirane su da izgledaju pouzdano i ciljaju korisnike koji očekuju obavijesti vezane uz pošiljke.
QR kodovi i lažna upozorenja kao vektori zaraze
Napadači se uvelike oslanjaju na QR kodove i obmanjujuće skočne prozore s obavijestima kako bi privukli korisnike na instaliranje zlonamjernih aplikacija. Kada joj se pristupi s računala, phishing stranica prikazuje QR kod koji potiče posjetitelja da ga skenira Android uređajem. Ova tehnika preusmjeravanja potiče žrtvu na instaliranje onoga što se predstavlja kao aplikacija za praćenje pošiljke ili sigurnosnu provjeru.
Kako bi se dodatno pojačala obmana, phishing stranica pokreće PHP skriptu za praćenje koja pregledava korisničkog agenta preglednika. Na temelju ove provjere, korisnicima se prikazuju poruke koje ih potiču na instalaciju takozvanog sigurnosnog modula, navodno potrebnog za usklađenost s "međunarodnim carinskim sigurnosnim politikama". Ova naracija ima za cilj opravdati zahtjev za instalaciju i smanjiti sumnju.
Zaobilaženje sigurnosnih upozorenja Androida
Budući da Android ograničava instalacije iz nepoznatih izvora i prikazuje istaknuta upozorenja, akteri prijetnji lažno tvrde da je aplikacija službeno i sigurno izdanje. Ova taktika socijalnog inženjeringa vrši pritisak na žrtve da ignoriraju ugrađene zaštite i nastave s instalacijom unatoč upozorenjima.
Lanac isporuke i izvršavanja zlonamjernog APK-a
Ako žrtva pristane, APK pod nazivom SecDelivery.apk preuzima se s poslužitelja na adresi 27.102.137.181. Nakon pokretanja, ovaj paket dešifrira šifrirani APK ugrađen u vlastite resurse. Prije aktiviranja sadržaja, provjerava je li dobio dopuštenja za upravljanje vanjskom pohranom, pristup internetu i instaliranje dodatnih paketa.
Nakon što se potvrde dopuštenja, zlonamjerni softver registrira uslugu identificiranu kao com.delivery.security.MainService i odmah pokreće aktivnost koja se predstavlja kao provjera identiteta temeljena na OTP-u. Ovaj lažni ekran za autentifikaciju zahtijeva broj dostave, koji je u APK-u kodiran kao 742938128549 i vjerojatno se dostavlja žrtvama tijekom početnog koraka krađe identiteta.
Lažna autentifikacija i tiha kompromitacija
Nakon unosa broja dostave, aplikacija generira slučajni šesteroznamenkasti verifikacijski kod i prikazuje ga kao obavijest. Korisnik se zatim poziva da unese ovaj kod, pojačavajući iluziju legitimnog sigurnosnog postupka. Nakon dovršetka, aplikacija otvara WebView koji upućuje na originalnu stranicu za praćenje CJ Logistics, čineći aktivnost autentičnom.
U međuvremenu, zlonamjerna komponenta se tiho povezuje s napadačkim poslužiteljem za upravljanje i kontrolu na 27.102.137.181 na portu 50005. Od ove točke, novopostavljena varijanta DocSwapa djeluje kao potpuno opremljeni trojanac za udaljeni pristup.
Mogućnosti udaljenog pristupa i krađa podataka
Zlonamjerni softver sposoban je primati desetke naredbi od svojih operatera, omogućujući opsežan nadzor i kontrolu nad zaraženim uređajem. Njegova funkcionalnost uključuje mogućnost bilježenja korisničkog unosa, praćenja komunikacije i izdvajanja osjetljivih osobnih podataka, pretvarajući kompromitirani pametni telefon u moćan alat za špijunažu.
Trojanizirane aplikacije i proširena distribucija
Osim lažne aplikacije za dostavu, istraživači su identificirali dodatne zlonamjerne uzorke maskirane kao P2B Airdrop aplikacija i kompromitovanu verziju legitimnog VPN proizvoda, BYCOM VPN. Prava VPN aplikacija dostupna je na Google Playu, a razvila ju je indijska tvrtka Bycom Solutions. Analiza pokazuje da je Kimsuky ubrizgao zlonamjerni kod u legitimni APK i prepakirao ga za korištenje u kampanji.
Phishing infrastruktura i prikupljanje vjerodajnica
Istraga prateće infrastrukture otkrila je phishing web stranice koje imitiraju popularne južnokorejske platforme poput Navera i Kakaoa. Ove stranice su osmišljene za krađu korisničkih podataka i pokazuju preklapanja s ranijim Kimsuky operacijama koje su posebno ciljale korisnike Navera, što sugerira ponovnu upotrebu i proširenje uspostavljene infrastrukture.
Razvoj dizajna zlonamjernog softvera
Iako implementirani zlonamjerni softver i dalje pokreće RAT uslugu sličnu prethodnim Kimsuky alatima, pokazuje značajnu evoluciju. Korištenje nove izvorne funkcije dešifriranja za ugrađeni APK i uključivanje višestrukih mamaca ukazuju na kontinuirani razvoj i nastojanje da se izbjegne otkrivanje uz istovremeno povećanje učinkovitosti.
