Perisian Hasad Mudah Alih DocSwap
Kekal berwaspada terhadap ancaman mudah alih yang sentiasa berkembang adalah penting, tatkala pelaku berkaitan negara terus memperhalusi teknik kejuruteraan sosial dan penyampaian perisian hasad. Satu kempen baru-baru ini yang dikaitkan dengan kumpulan Korea Utara Kimsuky mengetengahkan bagaimana penyerang menggabungkan pancingan data, kod QR dan aplikasi Android yang ditrojankan untuk menjejaskan peranti mangsa.
Isi kandungan
Kempen Android Terkini Kimsuky Dibongkar
Penyelidik keselamatan telah mengaitkan Kimsuky dengan operasi baharu yang mengedarkan varian perisian hasad Android baharu yang dikenali sebagai DocSwap. Kempen ini menyalahgunakan laman web pancingan data yang menyamar sebagai syarikat logistik terkenal yang berpangkalan di Seoul, CJ Logistics, yang sebelum ini dikenali sebagai CJ Korea Express. Laman palsu ini direka bentuk untuk kelihatan boleh dipercayai dan menyasarkan pengguna yang menjangkakan pemberitahuan berkaitan penghantaran.
Kod QR dan Amaran Palsu sebagai Vektor Jangkitan
Penyerang sangat bergantung pada kod QR dan tetingkap timbul pemberitahuan yang mengelirukan untuk menarik pengguna memasang aplikasi berniat jahat. Apabila diakses dari sistem desktop, halaman pancingan data memaparkan kod QR yang meminta pelawat mengimbasnya dengan peranti Android. Teknik pengalihan ini mendorong mangsa untuk memasang apa yang dipaparkan sebagai aplikasi penjejakan penghantaran atau pengesahan keselamatan.
Untuk meneruskan penipuan tersebut, halaman pancingan data menjalankan skrip PHP penjejakan yang memeriksa Ejen Pengguna pelayar. Berdasarkan semakan ini, pengguna ditunjukkan mesej yang menggesa mereka memasang modul keselamatan yang kononnya diperlukan untuk mematuhi 'dasar keselamatan kastam antarabangsa'. Naratif ini bertujuan untuk mewajarkan permintaan pemasangan dan mengurangkan syak wasangka.
Melangkau Amaran Keselamatan Android
Oleh kerana Android menyekat pemasangan daripada sumber yang tidak diketahui dan memaparkan amaran yang ketara, pelaku ancaman secara palsu mendakwa bahawa aplikasi tersebut merupakan keluaran rasmi dan selamat. Taktik kejuruteraan sosial ini memberi tekanan kepada mangsa untuk mengabaikan perlindungan terbina dalam dan meneruskan pemasangan walaupun terdapat amaran.
Rantaian Penghantaran dan Pelaksanaan APK Berniat Jahat
Jika mangsa bersetuju, APK bernama SecDelivery.apk akan dimuat turun daripada pelayan di 27.102.137.181. Sebaik sahaja dilancarkan, pakej ini akan menyahsulit APK yang disulitkan yang terbenam dalam sumbernya sendiri. Sebelum mengaktifkan muatan, ia akan mengesahkan bahawa ia telah memperoleh kebenaran untuk mengurus storan luaran, mengakses internet dan memasang pakej tambahan.
Selepas kebenaran disahkan, perisian hasad tersebut mendaftarkan perkhidmatan yang dikenal pasti sebagai com.delivery.security.MainService dan segera melancarkan aktiviti yang menyamar sebagai semakan identiti berasaskan OTP. Skrin pengesahan palsu ini meminta nombor penghantaran, yang dikodkan secara keras dalam APK sebagai 742938128549 dan kemungkinan besar dibekalkan kepada mangsa semasa langkah pancingan data awal.
Pengesahan Menipu dan Kompromi Senyap
Setelah memasukkan nombor penghantaran, aplikasi akan menjana kod pengesahan enam digit secara rawak dan memaparkannya sebagai pemberitahuan. Pengguna kemudiannya diminta untuk memasukkan kod ini, mengukuhkan ilusi proses keselamatan yang sah. Setelah selesai, aplikasi akan membuka WebView yang menghala ke halaman penjejakan CJ Logistics yang tulen, menjadikan aktiviti tersebut kelihatan asli.
Sementara itu, komponen berniat jahat itu bersambung secara senyap ke pelayan arahan dan kawalan yang dikawal oleh penyerang di 27.102.137.181 pada port 50005. Dari titik ini, varian DocSwap yang baru digunakan beroperasi sebagai trojan akses jauh berciri penuh.
Keupayaan Akses Jauh dan Kecurian Data
Perisian hasad ini mampu menerima berpuluh-puluh arahan daripada pengendalinya, membolehkan pengawasan dan kawalan meluas ke atas peranti yang dijangkiti. Fungsinya termasuk keupayaan untuk merekod input pengguna, memantau komunikasi dan mengekstrak data peribadi sensitif, sekali gus menjadikan telefon pintar yang digodam itu sebagai alat pengintipan yang berkuasa.
Aplikasi Trojan dan Pengedaran yang Diperluas
Selain aplikasi penghantaran palsu, para penyelidik mengenal pasti sampel berniat jahat tambahan yang menyamar sebagai aplikasi Airdrop P2B dan versi produk VPN sah yang dikompromi, BYCOM VPN. Aplikasi VPN tulen ini tersedia di Google Play dan dibangunkan oleh syarikat India, Bycom Solutions. Analisis menunjukkan bahawa Kimsuky menyuntik kod berniat jahat ke dalam APK yang sah dan membungkusnya semula untuk digunakan dalam kempen.
Infrastruktur Pancingan Data dan Penuaian Kredensial
Siasatan terhadap infrastruktur sokongan mendedahkan laman web pancingan data meniru platform popular Korea Selatan seperti Naver dan Kakao. Laman-laman ini direka bentuk untuk mencuri kelayakan pengguna dan menunjukkan pertindihan dengan operasi Kimsuky terdahulu yang menyasarkan pengguna Naver secara khusus, mencadangkan penggunaan semula dan pengembangan infrastruktur yang sedia ada.
Reka Bentuk Perisian Hasad yang Berkembang
Walaupun perisian hasad yang digunakan masih melancarkan perkhidmatan RAT yang serupa dengan alat Kimsuky sebelumnya, ia menunjukkan evolusi yang ketara. Penggunaan fungsi penyahsulitan asli baharu untuk APK terbenam dan penyertaan pelbagai tingkah laku umpan menunjukkan pembangunan berterusan dan usaha untuk mengelak pengesanan sambil meningkatkan keberkesanannya.
