DocSwap mobil skadelig programvare
Det er viktig å være oppmerksom på utviklende mobiltrusler, ettersom statstilknyttede aktører fortsetter å forbedre teknikker for sosial manipulering og levering av skadelig programvare. En fersk kampanje tilskrevet den nordkoreanske gruppen Kimsuky fremhever hvordan angripere blander phishing, QR-koder og trojanere fra Android-apper for å kompromittere ofrenes enheter.
Innholdsfortegnelse
Kimsukys nyeste Android-kampanje avslørt
Sikkerhetsforskere har koblet Kimsuky til en ny operasjon som distribuerer en ny variant av Android-skadevare kjent som DocSwap. Kampanjen misbruker phishing-nettsteder som utgir seg for å være det kjente Seoul-baserte logistikkselskapet CJ Logistics, tidligere kalt CJ Korea Express. Disse falske sidene er utformet for å virke troverdige og målrette brukere som forventer forsendelsesrelaterte varsler.
QR-koder og falske varsler som smittebærere
Angriperne bruker i stor grad QR-koder og villedende popup-varsler for å lokke brukere til å installere skadelige programmer. Når den åpnes fra en stasjonær datamaskin, viser phishing-siden en QR-kode som ber den besøkende om å skanne den med en Android-enhet. Denne omdirigeringsteknikken presser offeret mot å installere det som presenteres som en app for sporing av forsendelser eller sikkerhetsverifisering.
For å forsterke bedraget kjører phishing-siden et sporings-PHP-skript som inspiserer nettleserens brukeragent. Basert på denne sjekken får brukerne se meldinger som oppfordrer dem til å installere en såkalt sikkerhetsmodul, som angivelig er nødvendig for å overholde «internasjonale tollsikkerhetsregler». Denne forklaringen er ment å rettferdiggjøre installasjonsforespørselen og redusere mistanke.
Omgå Android-sikkerhetsvarsler
Fordi Android begrenser installasjoner fra ukjente kilder og viser tydelige advarsler, hevder trusselaktørene feilaktig at appen er en offisiell og sikker utgivelse. Denne sosialtekniske taktikken presser ofrene til å ignorere innebygde beskyttelser og fortsette med installasjonen til tross for varslene.
Leverings- og utførelseskjede for skadelig APK
Hvis offeret samtykker, lastes en APK kalt SecDelivery.apk ned fra serveren på 27.102.137.181. Når den er startet, dekrypterer denne pakken en kryptert APK som er innebygd i dens egne ressurser. Før nyttelasten aktiveres, bekrefter den at den har fått tillatelser til å administrere ekstern lagring, få tilgang til internett og installere tilleggspakker.
Etter at tillatelsene er bekreftet, registrerer skadevaren en tjeneste identifisert som com.delivery.security.MainService og starter umiddelbart en aktivitet som utgir seg for å være en OTP-basert identitetskontroll. Denne falske autentiseringsskjermen ber om et leveringsnummer, som er hardkodet i APK-en som 742938128549 og sannsynligvis blir gitt til ofrene under det første phishing-trinnet.
Villedende autentisering og stille kompromiss
Når leveringsnummeret er tastet inn, genererer appen en tilfeldig sekssifret bekreftelseskode og viser den som et varsel. Brukeren blir deretter bedt om å taste inn denne koden, noe som forsterker illusjonen av en legitim sikkerhetsprosess. Når den er fullført, åpner appen en WebView som peker til den ekte CJ Logistics-sporingssiden, noe som får aktiviteten til å virke autentisk.
I mellomtiden kobler den ondsinnede komponenten seg stille til en angriperstyrt kommando- og kontrollserver på 27.102.137.181 på port 50005. Fra dette tidspunktet fungerer den nylig distribuerte DocSwap-varianten som en fullfunksjonell trojaner for fjerntilgang.
Fjerntilgangsmuligheter og datatyveri
Skadevaren er i stand til å motta dusinvis av kommandoer fra operatørene sine, noe som muliggjør omfattende overvåking og kontroll over den infiserte enheten. Funksjonaliteten inkluderer muligheten til å logge brukerinput, overvåke kommunikasjon og trekke ut sensitive personopplysninger, noe som gjør den kompromitterte smarttelefonen til et kraftig spionasjeverktøy.
Trojaniserte apper og utvidet distribusjon
Utover den falske leveringsappen identifiserte forskere ytterligere ondsinnede eksempler som utga seg for å være en P2B Airdrop-applikasjon og en kompromittert versjon av et legitimt VPN-produkt, BYCOM VPN. Den ekte VPN-appen er tilgjengelig på Google Play og er utviklet av det indiske selskapet Bycom Solutions. Analyser indikerer at Kimsuky injiserte ondsinnet kode i den legitime APK-en og pakket den på nytt for bruk i kampanjen.
Phishing-infrastruktur og innsamling av legitimasjon
Undersøkelser av den støttende infrastrukturen avdekket phishing-nettsteder som imiterte populære sørkoreanske plattformer som Naver og Kakao. Disse nettstedene er utformet for å stjele brukerlegitimasjon og viser overlappinger med tidligere Kimsuky-operasjoner som spesifikt rettet seg mot Naver-brukere, noe som tyder på gjenbruk og utvidelse av etablert infrastruktur.
Utviklende design av skadelig programvare
Selv om den distribuerte skadevaren fortsatt lanserer en RAT-tjeneste som ligner på tidligere Kimsuky-verktøy, viser den bemerkelsesverdig utvikling. Bruken av en ny, innebygd dekrypteringsfunksjon for den innebygde APK-en og inkluderingen av flere lokkeatferder indikerer kontinuerlig utvikling og en innsats for å unngå deteksjon samtidig som effektiviteten økes.
