DocSwap mobiele malware
Het is essentieel om alert te blijven op de steeds veranderende mobiele dreigingen, aangezien aan staten gelieerde actoren hun social engineering- en malwareverspreidingstechnieken blijven verfijnen. Een recente campagne, toegeschreven aan de Noord-Koreaanse groep Kimsuky, laat zien hoe aanvallers phishing, QR-codes en met trojans geïnfecteerde Android-apps combineren om de apparaten van slachtoffers te compromitteren.
Inhoudsopgave
Kimsuky’s nieuwste Android-campagne onthuld
Beveiligingsonderzoekers hebben Kimsuky in verband gebracht met een nieuwe operatie die een nieuwe variant van Android-malware verspreidt, genaamd DocSwap. De campagne maakt gebruik van phishingwebsites die zich voordoen als het bekende logistieke bedrijf CJ Logistics uit Seoul, voorheen bekend als CJ Korea Express. Deze nepwebsites zijn ontworpen om betrouwbaar over te komen en richten zich op gebruikers die verzendmeldingen verwachten.
QR-codes en valse waarschuwingen als infectievectoren
De aanvallers maken veelvuldig gebruik van QR-codes en misleidende pop-upmeldingen om gebruikers te verleiden tot het installeren van schadelijke applicaties. Wanneer de phishingpagina vanaf een desktopcomputer wordt bezocht, wordt een QR-code weergegeven die de bezoeker vraagt te scannen met een Android-apparaat. Deze omleidingstechniek zet het slachtoffer ertoe aan een app te installeren die wordt gepresenteerd als een app voor het volgen van zendingen of een app voor beveiligingsverificatie.
Om de misleiding te versterken, voert de phishingpagina een PHP-script uit dat de User-Agent van de browser controleert. Op basis van deze controle worden gebruikers berichten getoond waarin ze worden aangespoord een zogenaamde beveiligingsmodule te installeren, die zogenaamd nodig is om te voldoen aan 'internationale douanevoorschriften'. Dit verhaal dient om het installatieverzoek te rechtvaardigen en de argwaan te verminderen.
Android-beveiligingswaarschuwingen omzeilen
Omdat Android installaties vanuit onbekende bronnen blokkeert en duidelijke waarschuwingen weergeeft, beweren de aanvallers ten onrechte dat de app een officiële en veilige release is. Deze social engineering-tactiek zet slachtoffers onder druk om de ingebouwde beveiligingen te negeren en de installatie ondanks de waarschuwingen door te zetten.
Kwaadaardige APK-leverings- en uitvoeringsketen
Als het slachtoffer instemt, wordt een APK met de naam SecDelivery.apk gedownload van de server op 27.102.137.181. Na het opstarten decodeert dit pakket een versleutelde APK die in de eigen bestanden is ingebed. Voordat de payload wordt geactiveerd, controleert het of het de benodigde machtigingen heeft om externe opslag te beheren, toegang tot internet te krijgen en extra pakketten te installeren.
Nadat de machtigingen zijn bevestigd, registreert de malware een service met de naam com.delivery.security.MainService en start direct een activiteit die zich voordoet als een identiteitscontrole met een OTP (One-Time Password). Dit nep-authenticatiescherm vraagt om een bezorgnummer, dat in de APK is vastgelegd als 742938128549 en waarschijnlijk aan slachtoffers wordt verstrekt tijdens de eerste stap van de phishingaanval.
Misleidende authenticatie en stille compromittering
Na het invoeren van het leveringsnummer genereert de app een willekeurige verificatiecode van zes cijfers en toont deze als een melding. De gebruiker wordt vervolgens gevraagd deze code in te voeren, wat de indruk wekt van een legitiem beveiligingsproces. Zodra dit is voltooid, opent de app een WebView die verwijst naar de echte CJ Logistics-trackingpagina, waardoor de activiteit authentiek lijkt.
Ondertussen maakt de kwaadaardige component stilletjes verbinding met een door de aanvaller beheerde command-and-controlserver op 27.102.137.181 op poort 50005. Vanaf dat moment functioneert de nieuw geïmplementeerde DocSwap-variant als een volwaardige remote access trojan.
Mogelijkheden voor toegang op afstand en datadiefstal
De malware kan tientallen commando's van de beheerders ontvangen, waardoor uitgebreide surveillance en controle over het geïnfecteerde apparaat mogelijk is. De functionaliteit omvat onder meer het vastleggen van gebruikersinvoer, het monitoren van communicatie en het extraheren van gevoelige persoonlijke gegevens, waardoor de gecompromitteerde smartphone een krachtig spionage-instrument wordt.
Geïnfecteerde apps met Trojan-virus en een bredere verspreiding
Naast de nep-bezorgapp ontdekten onderzoekers nog meer kwaadaardige bestanden die zich voordeden als een P2B Airdrop-applicatie en een gecompromitteerde versie van een legitiem VPN-product, BYCOM VPN. De echte VPN-app is beschikbaar in de Google Play Store en is ontwikkeld door het Indiase bedrijf Bycom Solutions. Analyse wijst uit dat Kimsuky kwaadaardige code in het legitieme APK-bestand heeft geïnjecteerd en dit vervolgens heeft aangepast voor gebruik in de campagne.
Phishinginfrastructuur en het verzamelen van inloggegevens
Onderzoek naar de ondersteunende infrastructuur bracht phishingwebsites aan het licht die populaire Zuid-Koreaanse platforms zoals Naver en Kakao imiteerden. Deze sites zijn ontworpen om gebruikersgegevens te stelen en vertonen overeenkomsten met eerdere Kimsuky-operaties die specifiek gericht waren op Naver-gebruikers, wat wijst op hergebruik en uitbreiding van de bestaande infrastructuur.
Evoluerend malwareontwerp
Hoewel de verspreide malware nog steeds een RAT-service start die vergelijkbaar is met eerdere Kimsuky-tools, vertoont deze een opmerkelijke evolutie. Het gebruik van een nieuwe, ingebouwde decryptiefunctie voor de ingebedde APK en de toevoeging van meerdere misleidende gedragingen duiden op voortdurende ontwikkeling en een poging om detectie te omzeilen en tegelijkertijd de effectiviteit te vergroten.
