Programe malware DocSwap pentru mobil
A fi atent la amenințările mobile în continuă evoluție este esențial, deoarece actorii legați de stat continuă să perfecționeze tehnicile de inginerie socială și de distribuire a programelor malware. O campanie recentă atribuită grupului nord-coreean Kimsuky evidențiază modul în care atacatorii combină phishing-ul, codurile QR și aplicațiile Android troiene pentru a compromite dispozitivele victimelor.
Cuprins
Cea mai recentă campanie Android a lui Kimsuky dezvăluită
Cercetătorii în domeniul securității au asociat Kimsuky cu o nouă operațiune de distribuire a unei noi variante de malware pentru Android, cunoscută sub numele de DocSwap. Campania abuzează de site-uri web de phishing care se dau drept cunoscuta companie de logistică CJ Logistics, cu sediul în Seul, numită anterior CJ Korea Express. Aceste pagini false sunt concepute să pară de încredere și să vizeze utilizatorii care așteaptă notificări legate de expedieri.
Codurile QR și alertele false ca vectori de infecție
Atacatorii se bazează în mare măsură pe coduri QR și ferestre pop-up de notificare înșelătoare pentru a atrage utilizatorii să instaleze aplicații rău intenționate. Când este accesată de pe un sistem desktop, pagina de phishing afișează un cod QR care solicită vizitatorului să îl scaneze cu un dispozitiv Android. Această tehnică de redirecționare împinge victima spre instalarea a ceea ce este prezentată ca o aplicație de urmărire a expedierilor sau de verificare a securității.
Pentru a continua înșelăciunea, pagina de phishing rulează un script PHP de urmărire care inspectează User-Agent-ul browserului. Pe baza acestei verificări, utilizatorilor li se afișează mesaje care îi îndeamnă să instaleze un așa-numit modul de securitate, despre care se presupune că este necesar pentru a respecta „politicile de securitate vamale internaționale”. Această narațiune are scopul de a justifica cererea de instalare și de a reduce suspiciunile.
Ocolirea avertismentelor de securitate Android
Deoarece Android restricționează instalările din surse necunoscute și afișează avertismente vizibile, actorii vulnerabili susțin în mod fals că aplicația este o versiune oficială și sigură. Această tactică de inginerie socială pune presiune pe victime să ignore protecțiile încorporate și să continue instalarea în ciuda alertelor.
Lanț de livrare și execuție APK rău intenționat
Dacă victima este de acord, un fișier APK numit SecDelivery.apk este descărcat de pe serverul de la adresa 27.102.137.181. Odată lansat, acest pachet decriptează un fișier APK criptat, încorporat în propriile resurse. Înainte de a activa sarcina utilă, verifică dacă a obținut permisiunile de a gestiona stocarea externă, de a accesa internetul și de a instala pachete suplimentare.
După confirmarea permisiunilor, malware-ul înregistrează un serviciu identificat drept com.delivery.security.MainService și lansează imediat o activitate care se prezintă drept o verificare a identității bazată pe OTP. Acest ecran de autentificare fals solicită un număr de livrare, care este codificat în APK ca 742938128549 și este probabil furnizat victimelor în timpul etapei inițiale de phishing.
Autentificare înșelătoare și compromis silențios
La introducerea numărului de livrare, aplicația generează un cod de verificare aleatoriu din șase cifre și îl afișează ca o notificare. Utilizatorului i se solicită apoi să introducă acest cod, consolidând iluzia unui proces de securitate legitim. După finalizare, aplicația deschide o pagină WebView care indică pagina de urmărire autentică CJ Logistics, făcând ca activitatea să pară autentică.
Între timp, componenta malițioasă se conectează silențios la un server de comandă și control controlat de atacator la adresa 27.102.137.181 pe portul 50005. Din acest moment, varianta DocSwap nou implementată funcționează ca un troian de acces la distanță complet funcțional.
Capacități de acces la distanță și furt de date
Malware-ul este capabil să primească zeci de comenzi de la operatorii săi, permițând supravegherea și controlul extins asupra dispozitivului infectat. Funcționalitatea sa include capacitatea de a înregistra datele introduse de utilizatori, de a monitoriza comunicațiile și de a extrage date personale sensibile, transformând smartphone-ul compromis într-un instrument puternic de spionaj.
Aplicații troienizate și distribuție extinsă
Pe lângă aplicația falsă de livrare, cercetătorii au identificat mostre suplimentare rău intenționate, deghizate în aplicații P2B Airdrop, și o versiune compromisă a unui produs VPN legitim, BYCOM VPN. Aplicația VPN autentică este disponibilă pe Google Play și este dezvoltată de compania indiană Bycom Solutions. Analizele indică faptul că Kimsuky a injectat cod rău intenționat în fișierul APK legitim și l-a reîmpachetat pentru a fi utilizat în campanie.
Infrastructura de phishing și recoltarea acreditărilor
Investigațiile asupra infrastructurii de suport au dezvăluit site-uri web de phishing care imită platforme sud-coreene populare, cum ar fi Naver și Kakao. Aceste site-uri sunt concepute pentru a fura datele de autentificare ale utilizatorilor și prezintă suprapuneri cu operațiunile anterioare Kimsuky care vizau în mod specific utilizatorii Naver, sugerând reutilizarea și extinderea infrastructurii deja existente.
Designul programelor malware în evoluție
Deși malware-ul implementat lansează în continuare un serviciu RAT similar instrumentelor Kimsuky anterioare, acesta demonstrează o evoluție notabilă. Utilizarea unei noi funcții native de decriptare pentru APK-ul încorporat și includerea mai multor comportamente capcană indică o dezvoltare continuă și un efort de a evita detectarea, crescând în același timp eficiența.
