DocSwap mobilo ierīču ļaunprogrammatūra
Ir svarīgi sekot līdzi mainīgajiem mobilo ierīču apdraudējumiem, jo ar valstīm saistīti dalībnieki turpina pilnveidot sociālās inženierijas un ļaunprogrammatūras piegādes metodes. Nesenā kampaņa, kas piedēvēta Ziemeļkorejas grupai Kimsuky, izceļ, kā uzbrucēji apvieno pikšķerēšanu, QR kodus un Trojas zirgu inficētas Android lietotnes, lai apdraudētu upuru ierīces.
Satura rādītājs
Atklāta Kimsuky jaunākā Android kampaņa
Drošības pētnieki ir saistījuši Kimsuky ar jaunu operāciju, kas izplata jaunu Android ļaunprogrammatūras variantu, kas pazīstams kā DocSwap. Kampaņa ļaunprātīgi izmanto pikšķerēšanas vietnes, kas uzdodas par labi pazīstamo Seulā bāzēto loģistikas uzņēmumu CJ Logistics, kas iepriekš saucās CJ Korea Express. Šīs viltus lapas ir veidotas tā, lai izskatītos uzticamas un mērķētu uz lietotājiem, kuri gaida ar sūtījumiem saistītus paziņojumus.
QR kodi un viltus brīdinājumi kā infekcijas pārnēsātāji
Uzbrucēji lielā mērā paļaujas uz QR kodiem un maldinošiem uznirstošajiem paziņojumiem, lai mudinātu lietotājus instalēt ļaunprātīgas lietotnes. Piekļūstot pikšķerēšanas lapai no datora, tajā tiek parādīts QR kods, kas aicina apmeklētāju to skenēt ar Android ierīci. Šī novirzīšanas metode mudina upuri instalēt lietotni, kas tiek pasniegta kā sūtījumu izsekošanas vai drošības verifikācijas lietotne.
Lai vēl vairāk maldinātu, pikšķerēšanas lapa palaiž izsekošanas PHP skriptu, kas pārbauda pārlūkprogrammas lietotāja aģentu. Pamatojoties uz šo pārbaudi, lietotājiem tiek parādīti ziņojumi, kas mudina viņus instalēt tā saukto drošības moduli, kas it kā ir nepieciešams, lai ievērotu "starptautiskās muitas drošības politiku". Šis stāsts ir paredzēts, lai attaisnotu instalēšanas pieprasījumu un mazinātu aizdomas.
Android drošības brīdinājumu apiešana
Tā kā Android ierobežo instalēšanu no nezināmiem avotiem un parāda redzamus brīdinājumus, apdraudējumu izplatītāji maldīgi apgalvo, ka lietotne ir oficiāla un droša versija. Šī sociālās inženierijas taktika piespiež upurus ignorēt iebūvētos aizsardzības līdzekļus un turpināt instalēšanu, neraugoties uz brīdinājumiem.
Ļaunprātīgas APK piegādes un izpildes ķēde
Ja upuris piekrīt, no servera ar adresi 27.102.137.181 tiek lejupielādēta APK fails ar nosaukumu SecDelivery.apk. Pēc palaišanas šī pakotne atšifrē šifrētu APK failu, kas iegults tās resursos. Pirms vērtuma aktivizēšanas tā pārbauda, vai ir ieguvusi atļaujas pārvaldīt ārējo krātuvi, piekļūt internetam un instalēt papildu pakotnes.
Pēc atļauju apstiprināšanas ļaunprogrammatūra reģistrē pakalpojumu, kas identificēts kā com.delivery.security.MainService, un nekavējoties uzsāk darbību, kas izliekas par uz vienreizējās paroles (OTP) balstītu identitātes pārbaudi. Šajā viltotajā autentifikācijas ekrānā tiek pieprasīts piegādes numurs, kas APK failā ir iekodēts kā 742938128549 un, visticamāk, tiek sniegts upuriem sākotnējā pikšķerēšanas posmā.
Maldinoša autentifikācija un klusa kompromitēšana
Ievadot piegādes numuru, lietotne ģenerē nejaušu sešciparu verifikācijas kodu un parāda to kā paziņojumu. Pēc tam lietotājam tiek piedāvāts ievadīt šo kodu, pastiprinot ilūziju par likumīgu drošības procesu. Kad tas ir pabeigts, lietotne atver WebView, kas norāda uz īsto CJ Logistics izsekošanas lapu, radot autentisku iespaidu par darbību.
Tikmēr ļaunprātīgais komponents klusībā izveido savienojumu ar uzbrucēja kontrolētu komandu un vadības serveri adresē 27.102.137.181, izmantojot 50005. portu. No šī brīža jaunizveidotais DocSwap variants darbojas kā pilnvērtīgs attālās piekļuves Trojas zirgs.
Attālās piekļuves iespējas un datu zādzības
Ļaunprogrammatūra spēj saņemt desmitiem komandu no tās operatoriem, nodrošinot plašu inficētās ierīces uzraudzību un kontroli. Tās funkcionalitāte ietver iespēju reģistrēt lietotāja ievadi, uzraudzīt saziņu un iegūt sensitīvus personas datus, pārvēršot apdraudēto viedtālruni par spēcīgu spiegošanas rīku.
Trojiešu zirgiem inficētas lietotnes un to paplašinātā izplatīšana
Papildus viltotajai piegādes lietotnei pētnieki identificēja papildu ļaunprātīgas programmatūras paraugus, kas maskējās kā P2B Airdrop lietojumprogramma un likumīga VPN produkta BYCOM VPN kompromitēta versija. Īstā VPN lietotne ir pieejama pakalpojumā Google Play, un to ir izstrādājis Indijas uzņēmums Bycom Solutions. Analīze liecina, ka Kimsuky ievietoja ļaunprātīgu kodu likumīgajā APK failā un pārpakoja to izmantošanai kampaņā.
Pikšķerēšanas infrastruktūra un akreditācijas datu ieguve
Izmeklējot atbalsta infrastruktūru, tika atklātas pikšķerēšanas vietnes, kas atdarināja populāras Dienvidkorejas platformas, piemēram, Naver un Kakao. Šīs vietnes ir izstrādātas, lai zagtu lietotāju akreditācijas datus, un tām ir pārklāšanās ar iepriekšējām Kimsuky darbībām, kas bija īpaši vērstas pret Naver lietotājiem, kas liecina par esošās infrastruktūras atkārtotu izmantošanu un paplašināšanu.
Attīstošais ļaunprogrammatūras dizains
Lai gan izvietotā ļaunprogrammatūra joprojām palaiž RAT pakalpojumu, kas līdzīgs iepriekšējiem Kimsuky rīkiem, tā demonstrē ievērojamu attīstību. Jaunas vietējās atšifrēšanas funkcijas izmantošana iegultajam APK failam un vairāku mānekļu darbību iekļaušana liecina par nepārtrauktu attīstību un centieniem izvairīties no atklāšanas, vienlaikus palielinot efektivitāti.
