„DocSwap“ mobiliųjų įrenginių kenkėjiška programa
Labai svarbu būti budriems dėl besivystančių mobiliųjų įrenginių grėsmių, nes su valstybėmis susiję veikėjai toliau tobulina socialinės inžinerijos ir kenkėjiškų programų platinimo metodus. Neseniai Šiaurės Korėjos grupuotei „Kimsuky“ priskiriama kampanija atskleidžia, kaip užpuolikai derina sukčiavimo atakas, QR kodus ir Trojos arklio užkrėstas „Android“ programas, kad pažeistų aukų įrenginius.
Turinys
Atskleista naujausia Kimsuky „Android“ kampanija
Saugumo tyrėjai susiejo „Kimsuky“ su nauja operacija, platinančia naują „Android“ kenkėjiškos programos variantą, žinomą kaip „DocSwap“. Kampanija piktnaudžiauja sukčiavimo svetainėmis, apsimetinėjančiomis gerai žinoma Seule įsikūrusia logistikos bendrove „CJ Logistics“, anksčiau vadinta „CJ Korea Express“. Šie netikri puslapiai sukurti taip, kad atrodytų patikimi, ir nukreipti į vartotojus, kurie tikisi su siuntomis susijusių pranešimų.
QR kodai ir netikri įspėjimai kaip infekcijos vektoriai
Užpuolikai labai pasikliauja QR kodais ir klaidinančiais iššokančiaisiais pranešimais, kad priviliotų vartotojus įdiegti kenkėjiškas programas. Kai sukčiavimo puslapis pasiekiamas iš darbalaukio sistemos, jame rodomas QR kodas, raginantis lankytoją jį nuskaityti „Android“ įrenginiu. Ši peradresavimo technika skatina auką įdiegti tai, kas pateikiama kaip siuntos sekimo arba saugumo patvirtinimo programėlė.
Siekiant dar labiau apgauti, sukčiavimo puslapyje paleidžiamas sekimo PHP scenarijus, kuris tikrina naršyklės vartotojo agentą. Remiantis šiuo patikrinimu, vartotojams rodomi pranešimai, raginantys įdiegti vadinamąjį saugumo modulį, kuris neva būtinas norint laikytis „tarptautinės muitinės saugumo politikos“. Šis pasakojimas skirtas pateisinti diegimo prašymą ir sumažinti įtarimą.
„Android“ saugos įspėjimų apėjimas
Kadangi „Android“ riboja diegimą iš nežinomų šaltinių ir rodo aiškiai matomus įspėjimus, kenkėjai melagingai teigia, kad programėlė yra oficialiai ir saugiai išleista. Ši socialinės inžinerijos taktika verčia aukas ignoruoti integruotas apsaugos priemones ir tęsti diegimą nepaisant įspėjimų.
Kenkėjiška APK pristatymo ir vykdymo grandinė
Jei auka sutinka, iš serverio, kurio adresas yra 27.102.137.181, atsisiunčiama APK programa pavadinimu „SecDelivery.apk“. Paleidus šį paketą, jis iššifruoja užšifruotą APK failą, įterptą į jo paties išteklius. Prieš aktyvuodamas naudingąją apkrovą, jis patikrina, ar gavo leidimus valdyti išorinę atmintinę, prisijungti prie interneto ir įdiegti papildomus paketus.
Patvirtinus leidimus, kenkėjiška programa užregistruoja paslaugą, identifikuojamą kaip com.delivery.security.MainService, ir nedelsdama pradeda veiklą, apsimesdama vienkartiniu slaptažodžiu pagrįstu tapatybės patikrinimu. Šis netikras autentifikavimo ekranas prašo pristatymo numerio, kuris APK faile yra užkoduotas kaip 742938128549 ir greičiausiai pateikiamas aukoms pradinio sukčiavimo atakos metu.
Apgaulingas autentifikavimas ir tylus kompromitavimas
Įvedus pristatymo numerį, programėlė sugeneruoja atsitiktinį šešių skaitmenų patvirtinimo kodą ir rodo jį kaip pranešimą. Tada vartotojo prašoma įvesti šį kodą, taip sustiprinant teisėto saugumo proceso iliuziją. Įvedus kodą, programėlė atidaro „WebView“, nukreipiantį į tikrąjį „CJ Logistics“ sekimo puslapį, todėl veikla atrodo autentiška.
Tuo tarpu kenkėjiškas komponentas tyliai jungiasi prie užpuoliko valdomo komandų ir valdymo serverio, esančio adresu 27.102.137.181 ir per 50005 prievadą. Nuo šio taško naujai įdiegtas „DocSwap“ variantas veikia kaip visavertis nuotolinės prieigos Trojos arklys.
Nuotolinės prieigos galimybės ir duomenų vagystė
Kenkėjiška programa gali gauti dešimtis komandų iš savo operatorių, taip įgalindama išsamiai stebėti ir valdyti užkrėstą įrenginį. Jos funkcijos apima galimybę registruoti naudotojo įvestį, stebėti ryšį ir išgauti jautrius asmens duomenis, paverčiant užkrėstą išmanųjį telefoną galingu šnipinėjimo įrankiu.
Trojos arklio užkrėstos programėlės ir išplėstas platinimas
Be netikros pristatymo programėlės, tyrėjai nustatė papildomų kenkėjiškų pavyzdžių, maskuojančių „P2B Airdrop“ programą ir pažeistą teisėto VPN produkto „BYCOM VPN“ versiją. Tikrąją VPN programėlę galima įsigyti „Google Play“ parduotuvėje, ją sukūrė Indijos bendrovė „Bycom Solutions“. Analizė rodo, kad „Kimsuky“ į teisėtą APK failą įterpė kenkėjišką kodą ir jį perpakavo, kad būtų galima naudoti kampanijoje.
Sukčiavimo apsimetant infrastruktūra ir kredencialų rinkimas
Atlikus palaikymo infrastruktūros tyrimą, buvo atskleistos sukčiavimo svetainės, imituojančios populiarias Pietų Korėjos platformas, tokias kaip „Naver“ ir „Kakao“. Šios svetainės sukurtos siekiant pavogti vartotojų kredencialus ir rodo dubliavimąsi su ankstesnėmis „Kimsuky“ operacijomis, kurios buvo specialiai nukreiptos į „Naver“ naudotojus, o tai rodo esamos infrastruktūros pakartotinį naudojimą ir plėtrą.
Besivystantis kenkėjiškų programų dizainas
Nors įdiegta kenkėjiška programa vis dar paleidžia RAT paslaugą, panašią į ankstesnius „Kimsuky“ įrankius, ji demonstruoja pastebimą evoliuciją. Naujos gimtosios iššifravimo funkcijos naudojimas įterptojoje APK versijoje ir kelių masalų elgsenos įtraukimas rodo nuolatinį tobulinimą ir pastangas išvengti aptikimo, kartu didinant efektyvumą.
