DocSwap mobil kártevő
Elengedhetetlen, hogy folyamatosan figyeljük a folyamatosan fejlődő mobilfenyegetéseket, mivel az államilag finanszírozott szereplők folyamatosan finomítják a társadalmi manipuláció és a rosszindulatú programok terjesztési technikáit. Az észak-koreai Kimsuky csoporthoz köthető nemrégiben indított kampány rávilágít arra, hogyan ötvözik a támadók az adathalászatot, a QR-kódokat és a trójai vírussal fertőzött Android-alkalmazásokat az áldozatok eszközeinek feltörése érdekében.
Tartalomjegyzék
Kimsuky legújabb Android-kampánya leleplezve
Biztonsági kutatók a Kimsukyt egy új, DocSwap néven ismert Android kártevő-variáns terjesztésével összefüggésbe hozták. A kampány adathalász weboldalakat használ, amelyek a jól ismert szöuli székhelyű CJ Logistics (korábban CJ Korea Express) logisztikai cégnek adják ki magukat. Ezek a hamis oldalak megbízhatónak tűnnek, és azokat a felhasználókat célozzák meg, akik szállítmányokkal kapcsolatos értesítéseket várnak.
QR-kódok és hamis riasztások, mint fertőzési vektorok
A támadók nagymértékben QR-kódokra és megtévesztő értesítési felugró ablakokra támaszkodnak, hogy rávegyék a felhasználókat a rosszindulatú alkalmazások telepítésére. Asztali rendszerről elérve az adathalász oldal egy QR-kódot jelenít meg, amely arra kéri a látogatót, hogy olvassa be azt egy Android-eszközzel. Ez az átirányítási technika egy szállítmánykövető vagy biztonsági ellenőrző alkalmazásként bemutatott alkalmazás telepítésére ösztönzi az áldozatot.
A megtévesztés fokozása érdekében az adathalász oldal egy követő PHP szkriptet futtat, amely a böngésző felhasználói ügynökét vizsgálja. Az ellenőrzés alapján a felhasználók üzeneteket jelenítenek meg, amelyek egy úgynevezett biztonsági modul telepítésére sürgetik őket, amely állítólag a „nemzetközi vámbiztonsági irányelvek” betartásához szükséges. Ez a narratíva a telepítési kérés igazolására és a gyanú csökkentésére szolgál.
Android biztonsági figyelmeztetések megkerülése
Mivel az Android korlátozza az ismeretlen forrásokból származó telepítéseket, és kiemelt figyelmeztetéseket jelenít meg, a támadók hamisan állítják, hogy az alkalmazás hivatalos és biztonságos kiadás. Ez a társadalmi manipuláció taktikája arra kényszeríti az áldozatokat, hogy figyelmen kívül hagyják a beépített védelmet, és a figyelmeztetések ellenére folytassák a telepítést.
Rosszindulatú APK-kézbesítési és végrehajtási lánc
Ha az áldozat beleegyezik, a SecDelivery.apk nevű APK letöltődik a 27.102.137.181 címen található szerverről. Indítás után ez a csomag dekódolja a saját erőforrásaiba ágyazott titkosított APK-t. A hasznos adat aktiválása előtt ellenőrzi, hogy rendelkezik-e engedélyekkel a külső tárolók kezelésére, az internet elérésére és további csomagok telepítésére.
Az engedélyek megerősítése után a rosszindulatú program regisztrál egy com.delivery.security.MainService néven azonosított szolgáltatást, és azonnal elindít egy tevékenységet, amely OTP-alapú személyazonosság-ellenőrzésnek ad ki magát. Ez a hamis hitelesítési képernyő egy kézbesítési számot kér, amely 742938128549-ként van fixen kódolva az APK-ban, és valószínűleg az adathalász kezdeti lépése során adják meg az áldozatoknak.
Megtévesztő hitelesítés és csendes kompromittálás
A kézbesítési szám megadásakor az alkalmazás egy véletlenszerű hatjegyű ellenőrző kódot generál, és értesítésként megjeleníti. A felhasználót ezután felkérik, hogy adja meg ezt a kódot, megerősítve a legitim biztonsági folyamat illúzióját. A befejezés után az alkalmazás megnyit egy WebView-t, amely a valódi CJ Logistics nyomonkövetési oldalára mutat, így a tevékenység hitelesnek tűnik.
Eközben a rosszindulatú komponens csendben csatlakozik egy támadó által vezérelt parancs- és vezérlőkiszolgálóhoz a 27.102.137.181-es címen az 50005-ös porton. Ettől a ponttól kezdve az újonnan telepített DocSwap variáns teljes értékű távoli hozzáférést biztosító trójai vírusként működik.
Távoli hozzáférési lehetőségek és adatlopás
A rosszindulatú program képes tucatnyi parancs fogadására a kezelőitől, lehetővé téve a fertőzött eszköz széleskörű megfigyelését és irányítását. Funkciói közé tartozik a felhasználói bevitel naplózása, a kommunikáció monitorozása és az érzékeny személyes adatok kinyerése, így a feltört okostelefont hatékony kémkedési eszközzé alakítva.
Trójai fertőzött alkalmazások és kiterjesztett terjesztésük
A hamis kézbesítő alkalmazáson túl a kutatók további rosszindulatú mintákat azonosítottak, amelyek P2B Airdrop alkalmazásnak álcázták magukat, valamint egy legitim VPN-termék, a BYCOM VPN feltört verzióját. Az eredeti VPN-alkalmazás elérhető a Google Playen, és az indiai Bycom Solutions cég fejlesztette ki. Az elemzés azt mutatja, hogy a Kimsuky rosszindulatú kódot juttatott a legitim APK-ba, és újracsomagolta azt a kampányban való használatra.
Adathalászati infrastruktúra és hitelesítő adatok begyűjtése
A támogató infrastruktúra vizsgálata során olyan adathalász weboldalakat tártak fel, amelyek népszerű dél-koreai platformokat, például a Navert és a Kakaót utánozták. Ezek az oldalak felhasználói hitelesítő adatok ellopására szolgálnak, és átfedéseket mutatnak a korábbi, kifejezetten a Naver-felhasználókat célzó Kimsuky-műveletekkel, ami a meglévő infrastruktúra újrafelhasználására és bővítésére utal.
Fejlődő kártevő-tervezés
Bár a telepített kártevő továbbra is egy RAT szolgáltatást indít, hasonlóan a korábbi Kimsuky eszközökhöz, jelentős fejlődést mutat. Az új natív visszafejtési funkció használata a beágyazott APK-ban és a többszörös csapdaviselkedés beépítése a folyamatos fejlesztésre és a hatékonyság növelése melletti észlelés elkerülésére irányuló erőfeszítésre utal.
