DocSwap Mobile Malware
Zachowanie czujności na ewoluujące zagrożenia mobilne jest kluczowe, ponieważ podmioty powiązane z państwem stale udoskonalają socjotechnikę i techniki dystrybucji złośliwego oprogramowania. Niedawna kampania przypisywana północnokoreańskiej grupie Kimsuky pokazuje, jak atakujący łączą phishing, kody QR i trojańskie aplikacje na Androida, aby włamać się do urządzeń ofiar.
Spis treści
Najnowsza kampania Kimsuky’ego na Androida odkryta
Badacze bezpieczeństwa powiązali Kimsuky'ego z nową operacją rozprzestrzeniającą nową odmianę złośliwego oprogramowania na Androida, znaną jako DocSwap. Kampania wykorzystuje strony phishingowe podszywające się pod znaną firmę logistyczną CJ Logistics z Seulu, wcześniej znaną jako CJ Korea Express. Te fałszywe strony mają sprawiać wrażenie wiarygodnych i są skierowane do użytkowników oczekujących powiadomień o przesyłkach.
Kody QR i fałszywe alerty jako wektory infekcji
Atakujący w dużej mierze wykorzystują kody QR i zwodnicze powiadomienia wyskakujące, aby nakłonić użytkowników do zainstalowania złośliwych aplikacji. Po wejściu na stronę phishingową z komputera stacjonarnego, wyświetla ona kod QR, który zachęca odwiedzającego do zeskanowania go urządzeniem z systemem Android. Ta technika przekierowania skłania ofiarę do zainstalowania aplikacji, która jest prezentowana jako aplikacja do śledzenia przesyłek lub weryfikacji bezpieczeństwa.
Aby pogłębić oszustwo, strona phishingowa uruchamia skrypt śledzący PHP, który sprawdza User-Agent przeglądarki. Na podstawie tego sprawdzenia użytkownikom wyświetlane są komunikaty nakłaniające do zainstalowania tzw. modułu bezpieczeństwa, rzekomo wymaganego do przestrzegania „międzynarodowych zasad bezpieczeństwa celnego”. Ta narracja ma na celu uzasadnienie prośby o instalację i zmniejszenie podejrzeń.
Omijanie ostrzeżeń bezpieczeństwa Androida
Ponieważ Android ogranicza instalacje z nieznanych źródeł i wyświetla widoczne ostrzeżenia, atakujący fałszywie twierdzą, że aplikacja jest oficjalną i bezpieczną wersją. Ta taktyka socjotechniczna wywiera presję na ofiary, aby zignorowały wbudowane zabezpieczenia i kontynuowały instalację pomimo ostrzeżeń.
Łańcuch dostarczania i wykonywania złośliwych plików APK
Jeśli ofiara wyrazi zgodę, z serwera o adresie 27.102.137.181 pobierany jest pakiet APK o nazwie SecDelivery.apk. Po uruchomieniu pakiet ten odszyfrowuje zaszyfrowany plik APK osadzony we własnych zasobach. Przed aktywacją ładunku weryfikuje on, czy uzyskał uprawnienia do zarządzania pamięcią zewnętrzną, dostępu do internetu i instalowania dodatkowych pakietów.
Po potwierdzeniu uprawnień, złośliwe oprogramowanie rejestruje usługę zidentyfikowaną jako com.delivery.security.MainService i natychmiast uruchamia działanie podszywające się pod weryfikację tożsamości opartą na jednorazowym haśle (OTP). Ten fałszywy ekran uwierzytelniania żąda podania numeru dostawy, który jest zakodowany w pliku APK jako 742938128549 i prawdopodobnie jest podawany ofiarom na początkowym etapie ataku phishingowego.
Oszukańcze uwierzytelnianie i ciche zagrożenie
Po wpisaniu numeru dostawy aplikacja generuje losowy sześciocyfrowy kod weryfikacyjny i wyświetla go jako powiadomienie. Następnie użytkownik jest proszony o podanie tego kodu, co wzmacnia iluzję legalnego procesu bezpieczeństwa. Po zakończeniu, aplikacja otwiera WebView kierujący do oryginalnej strony śledzenia CJ Logistics, co sprawia, że aktywność wydaje się autentyczna.
Tymczasem złośliwy komponent po cichu łączy się z kontrolowanym przez atakującego serwerem poleceń i kontroli pod adresem 27.102.137.181 na porcie 50005. Od tego momentu nowo wdrożony wariant DocSwap działa jako w pełni funkcjonalny trojan zdalnego dostępu.
Możliwości zdalnego dostępu i kradzież danych
Szkodliwe oprogramowanie potrafi odbierać dziesiątki poleceń od operatorów, umożliwiając rozległy nadzór i kontrolę nad zainfekowanym urządzeniem. Jego funkcjonalność obejmuje rejestrowanie danych wprowadzanych przez użytkownika, monitorowanie komunikacji i pozyskiwanie poufnych danych osobowych, dzięki czemu zainfekowany smartfon staje się potężnym narzędziem szpiegowskim.
Aplikacje z trojanami i rozszerzona dystrybucja
Oprócz fałszywej aplikacji do dostaw, badacze zidentyfikowali inne złośliwe próbki podszywające się pod aplikację P2B Airdrop oraz zainfekowaną wersję legalnego produktu VPN, BYCOM VPN. Oryginalna aplikacja VPN jest dostępna w Google Play i została opracowana przez indyjską firmę Bycom Solutions. Analiza wskazuje, że Kimsuky wstrzyknął złośliwy kod do legalnego pliku APK i przepakował go do wykorzystania w kampanii.
Infrastruktura phishingowa i zbieranie danych uwierzytelniających
Badanie infrastruktury pomocniczej ujawniło witryny phishingowe imitujące popularne południowokoreańskie platformy, takie jak Naver i Kakao. Witryny te mają na celu kradzież danych uwierzytelniających użytkowników i wykazują podobieństwa do wcześniejszych operacji Kimsuky, których celem byli użytkownicy Naver, sugerując ponowne wykorzystanie i rozbudowę istniejącej infrastruktury.
Ewolucja projektowania złośliwego oprogramowania
Chociaż wdrożone złośliwe oprogramowanie nadal uruchamia usługę RAT, podobną do poprzednich narzędzi Kimsuky, wykazuje ono znaczną ewolucję. Wykorzystanie nowej, natywnej funkcji deszyfrującej dla osadzonego pliku APK oraz uwzględnienie wielu zachowań wabiących wskazują na ciągły rozwój i dążenie do uniknięcia wykrycia przy jednoczesnym zwiększeniu skuteczności.
