Malware para dispositivos móveis DocSwap
Manter-se alerta em relação às ameaças móveis em constante evolução é essencial, visto que agentes ligados a Estados continuam a aprimorar técnicas de engenharia social e de distribuição de malware. Uma campanha recente atribuída ao grupo norte-coreano Kimsuky destaca como os atacantes estão combinando phishing, códigos QR e aplicativos Android infectados por trojans para comprometer os dispositivos das vítimas.
Índice
Revelada a mais recente campanha de Kimsuky para Android.
Pesquisadores de segurança associaram Kimsuky a uma nova operação de distribuição de uma variante de malware para Android conhecida como DocSwap. A campanha utiliza sites de phishing que se fazem passar pela conhecida empresa de logística CJ Logistics, com sede em Seul e anteriormente chamada de CJ Korea Express. Essas páginas falsas são projetadas para parecerem confiáveis e visam usuários que aguardam notificações relacionadas a envios.
Códigos QR e alertas falsos como vetores de infecção
Os atacantes dependem fortemente de códigos QR e pop-ups de notificação enganosos para induzir os usuários a instalar aplicativos maliciosos. Quando acessada por um computador, a página de phishing exibe um código QR que solicita ao visitante que o escaneie com um dispositivo Android. Essa técnica de redirecionamento leva a vítima a instalar o que é apresentado como um aplicativo de rastreamento de encomendas ou verificação de segurança.
Para reforçar o engano, a página de phishing executa um script PHP de rastreamento que inspeciona o User-Agent do navegador. Com base nessa verificação, os usuários visualizam mensagens que os incentivam a instalar um suposto módulo de segurança, alegadamente necessário para cumprir as "políticas internacionais de segurança alfandegária". Essa narrativa visa justificar a solicitação de instalação e diminuir as suspeitas.
Ignorando os avisos de segurança do Android
Como o Android restringe instalações de fontes desconhecidas e exibe avisos em destaque, os criminosos cibernéticos alegam falsamente que o aplicativo é uma versão oficial e segura. Essa tática de engenharia social pressiona as vítimas a ignorarem as proteções integradas e a prosseguirem com a instalação, apesar dos alertas.
Cadeia de Entrega e Execução de APKs Maliciosos
Se a vítima concordar, um arquivo APK chamado SecDelivery.apk é baixado do servidor no endereço 27.102.137.181. Após ser executado, este pacote descriptografa um APK criptografado incorporado em seus próprios recursos. Antes de ativar o conteúdo malicioso, ele verifica se obteve permissões para gerenciar o armazenamento externo, acessar a internet e instalar pacotes adicionais.
Após a confirmação das permissões, o malware registra um serviço identificado como com.delivery.security.MainService e inicia imediatamente uma atividade que simula uma verificação de identidade baseada em OTP (senha de uso único). Essa tela de autenticação falsa solicita um número de entrega, que está embutido no APK como 742938128549 e provavelmente é fornecido às vítimas durante a etapa inicial de phishing.
Autenticação enganosa e comprometimento silencioso
Ao inserir o número de entrega, o aplicativo gera um código de verificação aleatório de seis dígitos e o exibe como uma notificação. O usuário é então solicitado a inserir esse código, reforçando a ilusão de um processo de segurança legítimo. Uma vez concluído, o aplicativo abre uma WebView que direciona para a página de rastreamento oficial da CJ Logistics, fazendo com que a atividade pareça autêntica.
Entretanto, o componente malicioso se conecta silenciosamente a um servidor de comando e controle controlado pelo atacante no endereço 27.102.137.181, na porta 50005. A partir desse ponto, a variante DocSwap recém-implantada opera como um trojan de acesso remoto completo.
Capacidades de acesso remoto e roubo de dados
O malware é capaz de receber dezenas de comandos de seus operadores, permitindo ampla vigilância e controle sobre o dispositivo infectado. Sua funcionalidade inclui a capacidade de registrar a entrada do usuário, monitorar comunicações e extrair dados pessoais sensíveis, transformando o smartphone comprometido em uma poderosa ferramenta de espionagem.
Aplicativos Trojanizados e Distribuição Expandida
Além do aplicativo de entrega falso, os pesquisadores identificaram amostras maliciosas adicionais disfarçadas de aplicativo P2B Airdrop e uma versão comprometida de um produto VPN legítimo, o BYCOM VPN. O aplicativo VPN genuíno está disponível no Google Play e é desenvolvido pela empresa indiana Bycom Solutions. A análise indica que Kimsuky injetou código malicioso no APK legítimo e o reempacotou para uso na campanha.
Infraestrutura de phishing e coleta de credenciais
A investigação da infraestrutura de suporte revelou sites de phishing que imitavam plataformas populares sul-coreanas, como Naver e Kakao. Esses sites são projetados para roubar credenciais de usuários e apresentam sobreposições com operações anteriores do Kimsuky, que visavam especificamente usuários do Naver, sugerindo a reutilização e expansão da infraestrutura já existente.
Evolução do design de malware
Embora o malware implantado ainda execute um serviço RAT semelhante às ferramentas Kimsuky anteriores, ele demonstra uma evolução notável. O uso de uma nova função de descriptografia nativa para o APK incorporado e a inclusão de múltiplos comportamentos de isca indicam um desenvolvimento contínuo e um esforço para evitar a detecção, ao mesmo tempo que aumenta a eficácia.
