DocSwap मोबाइल मालवेयर

राज्यसँग सम्बन्धित पक्षहरूले सामाजिक इन्जिनियरिङ र मालवेयर डेलिभरी प्रविधिहरूलाई परिष्कृत गर्न जारी राखेकाले, मोबाइल खतराहरूप्रति सतर्क रहनु आवश्यक छ। उत्तर कोरियाली समूह किमसुकीलाई श्रेय दिइएको हालैको अभियानले आक्रमणकारीहरूले पीडितहरूको उपकरणहरूलाई सम्झौता गर्न फिसिङ, QR कोडहरू र ट्रोजनाइज्ड एन्ड्रोइड एपहरू कसरी मिसाइरहेका छन् भनेर प्रकाश पार्छ।

किमसुकीको पछिल्लो एन्ड्रोइड अभियानको खुलासा

सुरक्षा अनुसन्धानकर्ताहरूले किमसुकीलाई डकस्व्याप भनेर चिनिने नयाँ एन्ड्रोइड मालवेयर संस्करण वितरण गर्ने नयाँ अपरेशनसँग जोडेका छन्। अभियानले प्रसिद्ध सियोल-आधारित रसद कम्पनी सीजे लजिस्टिक, जसलाई पहिले सीजे कोरिया एक्सप्रेस भनिन्थ्यो, को नक्कल गर्ने फिसिङ वेबसाइटहरूको दुरुपयोग गर्दछ। यी नक्कली पृष्ठहरू विश्वसनीय देखिन र ढुवानी-सम्बन्धित सूचनाहरूको अपेक्षा गर्ने प्रयोगकर्ताहरूलाई लक्षित गर्न डिजाइन गरिएको हो।

संक्रमण वाहकको रूपमा QR कोडहरू र नक्कली अलर्टहरू

प्रयोगकर्ताहरूलाई दुर्भावनापूर्ण अनुप्रयोगहरू स्थापना गर्न लोभ्याउन आक्रमणकारीहरू QR कोडहरू र भ्रामक सूचना पप-अपहरूमा धेरै भर पर्छन्। डेस्कटप प्रणालीबाट पहुँच गर्दा, फिसिङ पृष्ठले QR कोड प्रदर्शन गर्दछ जसले आगन्तुकलाई एन्ड्रोइड उपकरणबाट स्क्यान गर्न प्रेरित गर्दछ। यो पुनर्निर्देशन प्रविधिले पीडितलाई ढुवानी ट्र्याकिङ वा सुरक्षा प्रमाणिकरण एपको रूपमा प्रस्तुत गरिएको कुरा स्थापना गर्न धकेल्छ।

छललाई अगाडि बढाउन, फिसिङ पृष्ठले ट्र्याकिङ PHP स्क्रिप्ट चलाउँछ जसले ब्राउजरको प्रयोगकर्ता-एजेन्टको निरीक्षण गर्छ। यस जाँचको आधारमा, प्रयोगकर्ताहरूलाई तथाकथित सुरक्षा मोड्युल स्थापना गर्न आग्रह गर्ने सन्देशहरू देखाइन्छ, जुन 'अन्तर्राष्ट्रिय भन्सार सुरक्षा नीतिहरू' पालना गर्न आवश्यक मानिन्छ। यो कथा स्थापना अनुरोधलाई औचित्य दिन र शंका कम गर्नको लागि हो।

एन्ड्रोइड सुरक्षा चेतावनीहरू बाइपास गर्दै

एन्ड्रोइडले अज्ञात स्रोतहरूबाट स्थापनाहरू प्रतिबन्धित गर्ने र प्रमुख चेतावनीहरू प्रदर्शन गर्ने भएकोले, धम्की दिने कलाकारहरूले एप आधिकारिक र सुरक्षित रिलीज हो भनेर झूटो दाबी गर्छन्। यो सामाजिक इन्जिनियरिङ रणनीतिले पीडितहरूलाई निर्मित सुरक्षाहरूलाई बेवास्ता गर्न र अलर्टहरूको बावजुद स्थापनाको साथ अगाडि बढ्न दबाब दिन्छ।

दुर्भावनापूर्ण APK डेलिभरी र कार्यान्वयन श्रृंखला

यदि पीडित सहमत भएमा, SecDelivery.apk नामक APK सर्भरबाट २७.१०२.१३७.१८१ मा डाउनलोड गरिन्छ। एक पटक सुरु भएपछि, यो प्याकेजले आफ्नै स्रोतहरू भित्र एम्बेड गरिएको इन्क्रिप्टेड APK लाई डिक्रिप्ट गर्दछ। पेलोड सक्रिय गर्नु अघि, यसले बाह्य भण्डारण व्यवस्थापन गर्न, इन्टरनेट पहुँच गर्न र थप प्याकेजहरू स्थापना गर्न अनुमति प्राप्त गरेको प्रमाणित गर्दछ।

अनुमतिहरू पुष्टि भएपछि, मालवेयरले com.delivery.security.MainService को रूपमा पहिचान गरिएको सेवा दर्ता गर्छ र तुरुन्तै OTP-आधारित पहिचान जाँचको रूपमा प्रस्तुत गर्दै गतिविधि सुरु गर्छ। यो नक्कली प्रमाणीकरण स्क्रिनले डेलिभरी नम्बर अनुरोध गर्दछ, जुन APK मा 742938128549 को रूपमा हार्ड-कोड गरिएको छ र सम्भवतः प्रारम्भिक फिसिङ चरणको समयमा पीडितहरूलाई आपूर्ति गरिएको छ।

भ्रामक प्रमाणीकरण र मौन सम्झौता

डेलिभरी नम्बर प्रविष्ट गरेपछि, एपले अनियमित छ-अङ्कको प्रमाणिकरण कोड उत्पन्न गर्छ र यसलाई सूचनाको रूपमा प्रदर्शन गर्छ। त्यसपछि प्रयोगकर्तालाई यो कोड इनपुट गर्न प्रेरित गरिन्छ, जसले गर्दा वैध सुरक्षा प्रक्रियाको भ्रमलाई अझ बलियो बनाउँछ। एकपटक पूरा भएपछि, एपले वास्तविक CJ लजिस्टिक ट्र्याकिङ पृष्ठमा औंल्याउने वेबभ्यू खोल्छ, जसले गतिविधिलाई प्रामाणिक देखाउँछ।

यसैबीच, मालिसियस कम्पोनेन्टले पोर्ट ५०००५ मा २७.१०२.१३७.१८१ मा आक्रमणकारी-नियन्त्रित कमाण्ड-एन्ड-कन्ट्रोल सर्भरमा चुपचाप जडान गर्दछ। यस बिन्दुबाट, नयाँ तैनाथ गरिएको DocSwap भेरियन्टले पूर्ण-विशेषतायुक्त रिमोट एक्सेस ट्रोजनको रूपमा काम गर्दछ।

रिमोट एक्सेस क्षमताहरू र डाटा चोरी

यो मालवेयरले आफ्ना अपरेटरहरूबाट दर्जनौं आदेशहरू प्राप्त गर्न सक्षम छ, जसले गर्दा संक्रमित उपकरणमाथि व्यापक निगरानी र नियन्त्रण सक्षम हुन्छ। यसको कार्यक्षमतामा प्रयोगकर्ता इनपुट लग गर्ने, सञ्चार निगरानी गर्ने र संवेदनशील व्यक्तिगत डेटा निकाल्ने क्षमता समावेश छ, जसले गर्दा सम्झौता गरिएको स्मार्टफोनलाई एक शक्तिशाली जासुसी उपकरणमा परिणत गर्दछ।

ट्रोजनाइज्ड एप्स र विस्तारित वितरण

नक्कली डेलिभरी एपभन्दा बाहिर, अनुसन्धानकर्ताहरूले P2B एयरड्रप एप्लिकेसन र वैध VPN उत्पादन, BYCOM VPN को सम्झौता गरिएको संस्करणको रूपमा लुकेका थप दुर्भावनापूर्ण नमूनाहरू पहिचान गरे। वास्तविक VPN एप गुगल प्लेमा उपलब्ध छ र भारतीय कम्पनी Bycom Solutions द्वारा विकसित गरिएको हो। विश्लेषणले संकेत गर्दछ कि किमसुकीले वैध APK मा दुर्भावनापूर्ण कोड इन्जेक्ट गरेको थियो र अभियानमा प्रयोगको लागि यसलाई पुन: प्याकेज गरिएको थियो।

फिसिङ पूर्वाधार र प्रमाणपत्र संकलन

सहयोगी पूर्वाधारको अनुसन्धानले नाभर र काकाओ जस्ता लोकप्रिय दक्षिण कोरियाली प्लेटफर्महरूको नक्कल गर्ने फिसिङ वेबसाइटहरू पत्ता लगाएको छ। यी साइटहरू प्रयोगकर्ता प्रमाणहरू चोर्न र पहिलेका किमसुकी अपरेशनहरूसँग ओभरल्याप देखाउन डिजाइन गरिएको हो जसले विशेष गरी नाभर प्रयोगकर्ताहरूलाई लक्षित गरेको थियो, स्थापित पूर्वाधारको पुन: प्रयोग र विस्तारको सुझाव दिन्छ।

विकसित हुँदै गइरहेको मालवेयर डिजाइन

तैनाथ गरिएको मालवेयरले अझै पनि अघिल्लो किमसुकी उपकरणहरू जस्तै RAT सेवा सुरु गर्छ, यसले उल्लेखनीय विकास प्रदर्शन गर्दछ। इम्बेडेड APK को लागि नयाँ नेटिभ डिक्रिप्शन प्रकार्यको प्रयोग र धेरै डिकोय व्यवहारहरूको समावेशले निरन्तर विकास र प्रभावकारिता बढाउँदै पत्ता लगाउनबाट बच्ने प्रयासलाई संकेत गर्दछ।