Malware mobile DocSwap
È essenziale rimanere vigili sulle minacce mobili in continua evoluzione, poiché gli attori legati allo Stato continuano a perfezionare le tecniche di ingegneria sociale e distribuzione di malware. Una recente campagna attribuita al gruppo nordcoreano Kimsuky evidenzia come gli aggressori stiano combinando phishing, codici QR e app Android trojanizzate per compromettere i dispositivi delle vittime.
Sommario
Scoperta l’ultima campagna Android di Kimsuky
I ricercatori di sicurezza hanno collegato Kimsuky a una nuova operazione che distribuisce una nuova variante di malware per Android nota come DocSwap. La campagna sfrutta siti web di phishing che impersonano la nota azienda di logistica con sede a Seul, CJ Logistics, precedentemente nota come CJ Korea Express. Queste pagine false sono progettate per apparire affidabili e mirate agli utenti che si aspettano notifiche relative alle spedizioni.
Codici QR e falsi allarmi come vettori di infezione
Gli aggressori fanno ampio uso di codici QR e pop-up di notifica ingannevoli per invogliare gli utenti a installare applicazioni dannose. Quando si accede da un sistema desktop, la pagina di phishing mostra un codice QR che invita il visitatore a scansionarlo con un dispositivo Android. Questa tecnica di reindirizzamento spinge la vittima a installare quella che viene presentata come un'app di tracciamento delle spedizioni o di verifica della sicurezza.
Per amplificare l'inganno, la pagina di phishing esegue uno script PHP di tracciamento che ispeziona l'User-Agent del browser. Sulla base di questo controllo, agli utenti vengono mostrati messaggi che li sollecitano a installare un cosiddetto modulo di sicurezza, presumibilmente necessario per conformarsi alle "politiche di sicurezza doganali internazionali". Questa narrazione ha lo scopo di giustificare la richiesta di installazione e attenuare i sospetti.
Bypassare gli avvisi di sicurezza di Android
Poiché Android limita le installazioni da fonti sconosciute e visualizza avvisi evidenti, gli autori della minaccia affermano falsamente che l'app è una versione ufficiale e sicura. Questa tattica di ingegneria sociale spinge le vittime a ignorare le protezioni integrate e a procedere con l'installazione nonostante gli avvisi.
Catena di distribuzione ed esecuzione APK dannosa
Se la vittima acconsente, un APK denominato SecDelivery.apk viene scaricato dal server all'indirizzo 27.102.137.181. Una volta avviato, questo pacchetto decifra un APK crittografato incorporato nelle proprie risorse. Prima di attivare il payload, verifica di aver ottenuto le autorizzazioni per gestire l'archiviazione esterna, accedere a Internet e installare pacchetti aggiuntivi.
Dopo la conferma delle autorizzazioni, il malware registra un servizio identificato come com.delivery.security.MainService e avvia immediatamente un'attività che si spaccia per un controllo dell'identità basato su OTP. Questa falsa schermata di autenticazione richiede un numero di consegna, codificato nell'APK come 742938128549 e probabilmente fornito alle vittime durante la fase iniziale del phishing.
Autenticazione ingannevole e compromissione silenziosa
Dopo aver inserito il numero di consegna, l'app genera un codice di verifica casuale di sei cifre e lo visualizza come notifica. All'utente viene quindi richiesto di inserire questo codice, rafforzando l'illusione di un processo di sicurezza legittimo. Una volta completato, l'app apre una WebView che rimanda alla pagina di tracciamento originale di CJ Logistics, rendendo l'attività apparentemente autentica.
Nel frattempo, il componente dannoso si connette silenziosamente a un server di comando e controllo controllato dall'aggressore all'indirizzo 27.102.137.181 sulla porta 50005. Da questo punto, la variante DocSwap appena distribuita funziona come un trojan di accesso remoto completo.
Capacità di accesso remoto e furto di dati
Il malware è in grado di ricevere decine di comandi dai suoi operatori, consentendo un'ampia sorveglianza e un controllo approfondito del dispositivo infetto. Le sue funzionalità includono la capacità di registrare gli input dell'utente, monitorare le comunicazioni ed estrarre dati personali sensibili, trasformando lo smartphone compromesso in un potente strumento di spionaggio.
App trojanizzate e distribuzione estesa
Oltre alla falsa app di consegna, i ricercatori hanno identificato ulteriori campioni dannosi mascherati da applicazione P2B Airdrop e una versione compromessa di un prodotto VPN legittimo, BYCOM VPN. L'app VPN autentica è disponibile su Google Play ed è sviluppata dall'azienda indiana Bycom Solutions. L'analisi indica che Kimsuky ha iniettato codice dannoso nell'APK legittimo e lo ha riconfezionato per utilizzarlo nella campagna.
Infrastruttura di phishing e raccolta di credenziali
L'indagine sull'infrastruttura di supporto ha rivelato siti web di phishing che imitavano piattaforme sudcoreane popolari come Naver e Kakao. Questi siti sono progettati per rubare le credenziali degli utenti e mostrano sovrapposizioni con precedenti operazioni Kimsuky che prendevano di mira specificamente gli utenti di Naver, suggerendo il riutilizzo e l'espansione dell'infrastruttura consolidata.
Progettazione di malware in evoluzione
Sebbene il malware distribuito continui a lanciare un servizio RAT simile ai precedenti strumenti Kimsuky, dimostra una notevole evoluzione. L'utilizzo di una nuova funzione di decrittazione nativa per l'APK incorporato e l'inclusione di molteplici comportamenti esca indicano uno sviluppo continuo e un tentativo di eludere il rilevamento, aumentandone al contempo l'efficacia.
