ਡੌਕਸਵੈਪ ਮੋਬਾਈਲ ਮਾਲਵੇਅਰ

ਮੋਬਾਈਲ ਖਤਰਿਆਂ ਪ੍ਰਤੀ ਸੁਚੇਤ ਰਹਿਣਾ ਜ਼ਰੂਰੀ ਹੈ, ਕਿਉਂਕਿ ਰਾਜ ਨਾਲ ਜੁੜੇ ਕਾਰਕੁੰਨ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਅਤੇ ਮਾਲਵੇਅਰ ਡਿਲੀਵਰੀ ਤਕਨੀਕਾਂ ਨੂੰ ਸੁਧਾਰਦੇ ਰਹਿੰਦੇ ਹਨ। ਉੱਤਰੀ ਕੋਰੀਆਈ ਸਮੂਹ ਕਿਮਸੁਕੀ ਨੂੰ ਜ਼ਿੰਮੇਵਾਰ ਠਹਿਰਾਇਆ ਗਿਆ ਇੱਕ ਤਾਜ਼ਾ ਮੁਹਿੰਮ ਇਸ ਗੱਲ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ ਕਿ ਹਮਲਾਵਰ ਪੀੜਤਾਂ ਦੇ ਡਿਵਾਈਸਾਂ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਫਿਸ਼ਿੰਗ, QR ਕੋਡ ਅਤੇ ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਐਂਡਰਾਇਡ ਐਪਸ ਨੂੰ ਕਿਵੇਂ ਮਿਲਾ ਰਹੇ ਹਨ।

ਕਿਮਸੁਕੀ ਦੀ ਨਵੀਨਤਮ ਐਂਡਰਾਇਡ ਮੁਹਿੰਮ ਦਾ ਖੁਲਾਸਾ ਹੋਇਆ

ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਕਿਮਸੁਕੀ ਨੂੰ ਇੱਕ ਨਵੇਂ ਐਂਡਰਾਇਡ ਮਾਲਵੇਅਰ ਵੇਰੀਐਂਟ ਨੂੰ ਵੰਡਣ ਵਾਲੇ ਇੱਕ ਨਵੇਂ ਆਪ੍ਰੇਸ਼ਨ ਨਾਲ ਜੋੜਿਆ ਹੈ ਜਿਸਨੂੰ ਡੌਕਸਵੈਪ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਇਹ ਮੁਹਿੰਮ ਸਿਓਲ-ਅਧਾਰਤ ਲੌਜਿਸਟਿਕਸ ਕੰਪਨੀ ਸੀਜੇ ਲੌਜਿਸਟਿਕਸ, ਜਿਸਨੂੰ ਪਹਿਲਾਂ ਸੀਜੇ ਕੋਰੀਆ ਐਕਸਪ੍ਰੈਸ ਕਿਹਾ ਜਾਂਦਾ ਸੀ, ਦੀ ਨਕਲ ਕਰਨ ਵਾਲੀਆਂ ਫਿਸ਼ਿੰਗ ਵੈੱਬਸਾਈਟਾਂ ਦੀ ਦੁਰਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਇਹ ਨਕਲੀ ਪੰਨੇ ਭਰੋਸੇਯੋਗ ਦਿਖਾਈ ਦੇਣ ਅਤੇ ਸ਼ਿਪਮੈਂਟ-ਸਬੰਧਤ ਸੂਚਨਾਵਾਂ ਦੀ ਉਮੀਦ ਕਰਨ ਵਾਲੇ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ।

ਲਾਗ ਦੇ ਵੈਕਟਰ ਵਜੋਂ QR ਕੋਡ ਅਤੇ ਨਕਲੀ ਚੇਤਾਵਨੀਆਂ

ਹਮਲਾਵਰ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਖਤਰਨਾਕ ਐਪਲੀਕੇਸ਼ਨਾਂ ਸਥਾਪਤ ਕਰਨ ਲਈ ਭਰਮਾਉਣ ਲਈ QR ਕੋਡਾਂ ਅਤੇ ਧੋਖੇਬਾਜ਼ ਨੋਟੀਫਿਕੇਸ਼ਨ ਪੌਪ-ਅਪਸ 'ਤੇ ਬਹੁਤ ਜ਼ਿਆਦਾ ਨਿਰਭਰ ਕਰਦੇ ਹਨ। ਜਦੋਂ ਇੱਕ ਡੈਸਕਟੌਪ ਸਿਸਟਮ ਤੋਂ ਐਕਸੈਸ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਫਿਸ਼ਿੰਗ ਪੇਜ ਇੱਕ QR ਕੋਡ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ ਜੋ ਵਿਜ਼ਟਰ ਨੂੰ ਇਸਨੂੰ ਐਂਡਰਾਇਡ ਡਿਵਾਈਸ ਨਾਲ ਸਕੈਨ ਕਰਨ ਲਈ ਪ੍ਰੇਰਿਤ ਕਰਦਾ ਹੈ। ਇਹ ਰੀਡਾਇਰੈਕਸ਼ਨ ਤਕਨੀਕ ਪੀੜਤ ਨੂੰ ਇੱਕ ਸ਼ਿਪਮੈਂਟ ਟਰੈਕਿੰਗ ਜਾਂ ਸੁਰੱਖਿਆ ਤਸਦੀਕ ਐਪ ਵਜੋਂ ਪੇਸ਼ ਕੀਤੀ ਗਈ ਚੀਜ਼ ਨੂੰ ਸਥਾਪਤ ਕਰਨ ਵੱਲ ਧੱਕਦੀ ਹੈ।

ਧੋਖਾਧੜੀ ਨੂੰ ਅੱਗੇ ਵਧਾਉਣ ਲਈ, ਫਿਸ਼ਿੰਗ ਪੰਨਾ ਇੱਕ ਟਰੈਕਿੰਗ PHP ਸਕ੍ਰਿਪਟ ਚਲਾਉਂਦਾ ਹੈ ਜੋ ਬ੍ਰਾਊਜ਼ਰ ਦੇ ਯੂਜ਼ਰ-ਏਜੰਟ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਇਸ ਜਾਂਚ ਦੇ ਆਧਾਰ 'ਤੇ, ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਸੁਨੇਹੇ ਦਿਖਾਏ ਜਾਂਦੇ ਹਨ ਜੋ ਉਨ੍ਹਾਂ ਨੂੰ ਇੱਕ ਅਖੌਤੀ ਸੁਰੱਖਿਆ ਮੋਡੀਊਲ ਸਥਾਪਤ ਕਰਨ ਦੀ ਅਪੀਲ ਕਰਦੇ ਹਨ, ਜੋ ਕਿ 'ਅੰਤਰਰਾਸ਼ਟਰੀ ਕਸਟਮ ਸੁਰੱਖਿਆ ਨੀਤੀਆਂ' ਦੀ ਪਾਲਣਾ ਕਰਨ ਲਈ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਇਹ ਬਿਰਤਾਂਤ ਇੰਸਟਾਲੇਸ਼ਨ ਬੇਨਤੀ ਨੂੰ ਜਾਇਜ਼ ਠਹਿਰਾਉਣ ਅਤੇ ਸ਼ੱਕ ਨੂੰ ਘਟਾਉਣ ਲਈ ਹੈ।

ਐਂਡਰਾਇਡ ਸੁਰੱਖਿਆ ਚੇਤਾਵਨੀਆਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨਾ

ਕਿਉਂਕਿ ਐਂਡਰਾਇਡ ਅਣਜਾਣ ਸਰੋਤਾਂ ਤੋਂ ਇੰਸਟਾਲੇਸ਼ਨਾਂ 'ਤੇ ਪਾਬੰਦੀ ਲਗਾਉਂਦਾ ਹੈ ਅਤੇ ਪ੍ਰਮੁੱਖ ਚੇਤਾਵਨੀਆਂ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ, ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਝੂਠਾ ਦਾਅਵਾ ਕਰਦੇ ਹਨ ਕਿ ਐਪ ਇੱਕ ਅਧਿਕਾਰਤ ਅਤੇ ਸੁਰੱਖਿਅਤ ਰੀਲੀਜ਼ ਹੈ। ਇਹ ਸੋਸ਼ਲ ਇੰਜੀਨੀਅਰਿੰਗ ਰਣਨੀਤੀ ਪੀੜਤਾਂ ਨੂੰ ਬਿਲਟ-ਇਨ ਸੁਰੱਖਿਆ ਨੂੰ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਨ ਅਤੇ ਚੇਤਾਵਨੀਆਂ ਦੇ ਬਾਵਜੂਦ ਇੰਸਟਾਲੇਸ਼ਨ ਨਾਲ ਅੱਗੇ ਵਧਣ ਲਈ ਦਬਾਅ ਪਾਉਂਦੀ ਹੈ।

ਖ਼ਰਾਬ ਏਪੀਕੇ ਡਿਲੀਵਰੀ ਅਤੇ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਚੇਨ

ਜੇਕਰ ਪੀੜਤ ਸਹਿਮਤ ਹੁੰਦਾ ਹੈ, ਤਾਂ SecDelivery.apk ਨਾਮਕ ਇੱਕ APK ਸਰਵਰ ਤੋਂ 27.102.137.181 'ਤੇ ਡਾਊਨਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਲਾਂਚ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਇਹ ਪੈਕੇਜ ਆਪਣੇ ਸਰੋਤਾਂ ਦੇ ਅੰਦਰ ਏਮਬੇਡ ਕੀਤੇ ਇੱਕ ਏਨਕ੍ਰਿਪਟਡ APK ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਦਾ ਹੈ। ਪੇਲੋਡ ਨੂੰ ਕਿਰਿਆਸ਼ੀਲ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ, ਇਹ ਪੁਸ਼ਟੀ ਕਰਦਾ ਹੈ ਕਿ ਇਸਨੇ ਬਾਹਰੀ ਸਟੋਰੇਜ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨ, ਇੰਟਰਨੈਟ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਅਤੇ ਵਾਧੂ ਪੈਕੇਜ ਸਥਾਪਤ ਕਰਨ ਲਈ ਅਨੁਮਤੀਆਂ ਪ੍ਰਾਪਤ ਕੀਤੀਆਂ ਹਨ।

ਇਜਾਜ਼ਤਾਂ ਦੀ ਪੁਸ਼ਟੀ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ com.delivery.security.MainService ਵਜੋਂ ਪਛਾਣੀ ਗਈ ਸੇਵਾ ਨੂੰ ਰਜਿਸਟਰ ਕਰਦਾ ਹੈ ਅਤੇ ਤੁਰੰਤ ਇੱਕ OTP-ਅਧਾਰਤ ਪਛਾਣ ਜਾਂਚ ਵਜੋਂ ਪੇਸ਼ ਕਰਕੇ ਇੱਕ ਗਤੀਵਿਧੀ ਸ਼ੁਰੂ ਕਰਦਾ ਹੈ। ਇਹ ਨਕਲੀ ਪ੍ਰਮਾਣੀਕਰਨ ਸਕ੍ਰੀਨ ਇੱਕ ਡਿਲੀਵਰੀ ਨੰਬਰ ਦੀ ਬੇਨਤੀ ਕਰਦੀ ਹੈ, ਜੋ ਕਿ APK ਵਿੱਚ 742938128549 ਦੇ ਰੂਪ ਵਿੱਚ ਹਾਰਡ-ਕੋਡ ਕੀਤਾ ਗਿਆ ਹੈ ਅਤੇ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਸ਼ੁਰੂਆਤੀ ਫਿਸ਼ਿੰਗ ਪੜਾਅ ਦੌਰਾਨ ਪੀੜਤਾਂ ਨੂੰ ਸਪਲਾਈ ਕੀਤਾ ਜਾਂਦਾ ਹੈ।

ਧੋਖੇਬਾਜ਼ ਪ੍ਰਮਾਣਿਕਤਾ ਅਤੇ ਚੁੱਪ ਸਮਝੌਤਾ

ਡਿਲੀਵਰੀ ਨੰਬਰ ਦਰਜ ਕਰਨ 'ਤੇ, ਐਪ ਇੱਕ ਬੇਤਰਤੀਬ ਛੇ-ਅੰਕਾਂ ਵਾਲਾ ਪੁਸ਼ਟੀਕਰਨ ਕੋਡ ਤਿਆਰ ਕਰਦਾ ਹੈ ਅਤੇ ਇਸਨੂੰ ਇੱਕ ਸੂਚਨਾ ਦੇ ਰੂਪ ਵਿੱਚ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ। ਫਿਰ ਉਪਭੋਗਤਾ ਨੂੰ ਇਹ ਕੋਡ ਇਨਪੁਟ ਕਰਨ ਲਈ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਜਾਇਜ਼ ਸੁਰੱਖਿਆ ਪ੍ਰਕਿਰਿਆ ਦੇ ਭਰਮ ਨੂੰ ਹੋਰ ਮਜ਼ਬੂਤ ਕਰਦਾ ਹੈ। ਇੱਕ ਵਾਰ ਪੂਰਾ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਐਪ ਇੱਕ ਵੈੱਬਵਿਊ ਖੋਲ੍ਹਦਾ ਹੈ ਜੋ ਅਸਲੀ CJ ਲੌਜਿਸਟਿਕਸ ਟਰੈਕਿੰਗ ਪੰਨੇ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਗਤੀਵਿਧੀ ਪ੍ਰਮਾਣਿਕ ਦਿਖਾਈ ਦਿੰਦੀ ਹੈ।

ਇਸ ਦੌਰਾਨ, ਖਤਰਨਾਕ ਕੰਪੋਨੈਂਟ ਚੁੱਪਚਾਪ ਪੋਰਟ 50005 'ਤੇ 27.102.137.181 'ਤੇ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ ਨਾਲ ਜੁੜ ਜਾਂਦਾ ਹੈ। ਇਸ ਬਿੰਦੂ ਤੋਂ, ਨਵਾਂ ਤੈਨਾਤ ਕੀਤਾ ਗਿਆ DocSwap ਵੇਰੀਐਂਟ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਵਿਸ਼ੇਸ਼ਤਾ ਵਾਲੇ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ।

ਰਿਮੋਟ ਐਕਸੈਸ ਸਮਰੱਥਾਵਾਂ ਅਤੇ ਡਾਟਾ ਚੋਰੀ

ਇਹ ਮਾਲਵੇਅਰ ਆਪਣੇ ਆਪਰੇਟਰਾਂ ਤੋਂ ਦਰਜਨਾਂ ਕਮਾਂਡਾਂ ਪ੍ਰਾਪਤ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ, ਜਿਸ ਨਾਲ ਸੰਕਰਮਿਤ ਡਿਵਾਈਸ 'ਤੇ ਵਿਆਪਕ ਨਿਗਰਾਨੀ ਅਤੇ ਨਿਯੰਤਰਣ ਸੰਭਵ ਹੋ ਜਾਂਦਾ ਹੈ। ਇਸਦੀ ਕਾਰਜਕੁਸ਼ਲਤਾ ਵਿੱਚ ਉਪਭੋਗਤਾ ਇਨਪੁਟ ਨੂੰ ਲੌਗ ਕਰਨ, ਸੰਚਾਰਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ ਨਿੱਜੀ ਡੇਟਾ ਨੂੰ ਐਕਸਟਰੈਕਟ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਸ਼ਾਮਲ ਹੈ, ਜਿਸ ਨਾਲ ਸਮਝੌਤਾ ਕੀਤੇ ਗਏ ਸਮਾਰਟਫੋਨ ਨੂੰ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਜਾਸੂਸੀ ਟੂਲ ਵਿੱਚ ਬਦਲ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ।

ਟ੍ਰੋਜਨਾਈਜ਼ਡ ਐਪਸ ਅਤੇ ਵਿਸਤ੍ਰਿਤ ਵੰਡ

ਨਕਲੀ ਡਿਲੀਵਰੀ ਐਪ ਤੋਂ ਇਲਾਵਾ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਇੱਕ P2B ਏਅਰਡ੍ਰੌਪ ਐਪਲੀਕੇਸ਼ਨ ਅਤੇ ਇੱਕ ਜਾਇਜ਼ VPN ਉਤਪਾਦ, BYCOM VPN ਦੇ ਇੱਕ ਸਮਝੌਤਾ ਕੀਤੇ ਸੰਸਕਰਣ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਬਦਲਦੇ ਹੋਏ ਵਾਧੂ ਖਤਰਨਾਕ ਨਮੂਨਿਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ। ਅਸਲੀ VPN ਐਪ ਗੂਗਲ ਪਲੇ 'ਤੇ ਉਪਲਬਧ ਹੈ ਅਤੇ ਇਸਨੂੰ ਭਾਰਤੀ ਕੰਪਨੀ Bycom Solutions ਦੁਆਰਾ ਵਿਕਸਤ ਕੀਤਾ ਗਿਆ ਹੈ। ਵਿਸ਼ਲੇਸ਼ਣ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਕਿਮਸੁਕੀ ਨੇ ਜਾਇਜ਼ APK ਵਿੱਚ ਖਤਰਨਾਕ ਕੋਡ ਨੂੰ ਇੰਜੈਕਟ ਕੀਤਾ ਅਤੇ ਇਸਨੂੰ ਮੁਹਿੰਮ ਵਿੱਚ ਵਰਤੋਂ ਲਈ ਦੁਬਾਰਾ ਪੈਕ ਕੀਤਾ।

ਫਿਸ਼ਿੰਗ ਬੁਨਿਆਦੀ ਢਾਂਚਾ ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਕਟਾਈ

ਸਹਾਇਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਜਾਂਚ ਵਿੱਚ ਪਤਾ ਲੱਗਾ ਕਿ ਫਿਸ਼ਿੰਗ ਵੈੱਬਸਾਈਟਾਂ ਨੇਵਰ ਅਤੇ ਕਾਕਾਓ ਵਰਗੇ ਪ੍ਰਸਿੱਧ ਦੱਖਣੀ ਕੋਰੀਆਈ ਪਲੇਟਫਾਰਮਾਂ ਦੀ ਨਕਲ ਕੀਤੀ। ਇਹ ਸਾਈਟਾਂ ਉਪਭੋਗਤਾ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਕਰਨ ਅਤੇ ਪੁਰਾਣੇ ਕਿਮਸੁਕੀ ਓਪਰੇਸ਼ਨਾਂ ਨਾਲ ਓਵਰਲੈਪ ਦਿਖਾਉਣ ਲਈ ਤਿਆਰ ਕੀਤੀਆਂ ਗਈਆਂ ਹਨ ਜੋ ਖਾਸ ਤੌਰ 'ਤੇ ਨੇਵਰ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਸਨ, ਸਥਾਪਿਤ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਮੁੜ ਵਰਤੋਂ ਅਤੇ ਵਿਸਥਾਰ ਦਾ ਸੁਝਾਅ ਦਿੰਦੇ ਹਨ।

ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਮਾਲਵੇਅਰ ਡਿਜ਼ਾਈਨ

ਜਦੋਂ ਕਿ ਤੈਨਾਤ ਮਾਲਵੇਅਰ ਅਜੇ ਵੀ ਪਿਛਲੇ ਕਿਮਸੁਕੀ ਟੂਲਸ ਦੇ ਸਮਾਨ ਇੱਕ RAT ਸੇਵਾ ਲਾਂਚ ਕਰਦਾ ਹੈ, ਇਹ ਮਹੱਤਵਪੂਰਨ ਵਿਕਾਸ ਦਰਸਾਉਂਦਾ ਹੈ। ਏਮਬੈਡਡ ਏਪੀਕੇ ਲਈ ਇੱਕ ਨਵੇਂ ਨੇਟਿਵ ਡੀਕ੍ਰਿਪਸ਼ਨ ਫੰਕਸ਼ਨ ਦੀ ਵਰਤੋਂ ਅਤੇ ਮਲਟੀਪਲ ਡੀਕੋਏ ਵਿਵਹਾਰਾਂ ਨੂੰ ਸ਼ਾਮਲ ਕਰਨਾ ਚੱਲ ਰਹੇ ਵਿਕਾਸ ਅਤੇ ਪ੍ਰਭਾਵਸ਼ੀਲਤਾ ਨੂੰ ਵਧਾਉਂਦੇ ਹੋਏ ਖੋਜ ਤੋਂ ਬਚਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।