Мобильное вредоносное ПО DocSwap
Крайне важно быть начеку и следить за развивающимися угрозами для мобильных устройств, поскольку связанные с государством субъекты продолжают совершенствовать методы социальной инженерии и распространения вредоносного ПО. Недавняя кампания, приписываемая северокорейской группировке Kimsuky, демонстрирует, как злоумышленники сочетают фишинг, QR-коды и троянизированные приложения для Android, чтобы скомпрометировать устройства жертв.
Оглавление
Раскрыта информация о последней рекламной кампании Kimsuky для Android.
Исследователи в области безопасности связали Kimsuky с новой операцией по распространению нового варианта вредоносного ПО для Android, известного как DocSwap. Кампания использует фишинговые веб-сайты, выдающие себя за известную сеульскую логистическую компанию CJ Logistics, ранее известную как CJ Korea Express. Эти поддельные страницы созданы таким образом, чтобы выглядеть заслуживающими доверия и нацелены на пользователей, ожидающих уведомлений о доставке.
QR-коды и ложные оповещения как переносчики инфекции.
Злоумышленники активно используют QR-коды и обманчивые всплывающие уведомления, чтобы побудить пользователей установить вредоносные приложения. При доступе с настольного компьютера фишинговая страница отображает QR-код, который предлагает посетителю отсканировать его с помощью устройства Android. Этот метод перенаправления подталкивает жертву к установке приложения, представленного как приложение для отслеживания отправлений или проверки безопасности.
Для дальнейшего обмана фишинговая страница запускает отслеживающий PHP-скрипт, который проверяет User-Agent браузера. На основе этой проверки пользователям показываются сообщения с призывом установить так называемый модуль безопасности, якобы необходимый для соблюдения «международных правил таможенной безопасности». Этот нарратив призван оправдать запрос на установку и снизить подозрения.
Обход предупреждений безопасности Android
Поскольку Android ограничивает установку приложений из неизвестных источников и отображает заметные предупреждения, злоумышленники ложно утверждают, что приложение является официальным и безопасным релизом. Эта тактика социальной инженерии заставляет жертв игнорировать встроенные средства защиты и продолжать установку, несмотря на предупреждения.
Цепочка доставки и выполнения вредоносных APK-файлов
Если жертва даст согласие, с сервера по адресу 27.102.137.181 будет загружен APK-файл под названием SecDelivery.apk. После запуска этот пакет расшифровывает зашифрованный APK-файл, встроенный в его собственные ресурсы. Перед активацией полезной нагрузки он проверяет наличие разрешений на управление внешним хранилищем, доступ к интернету и установку дополнительных пакетов.
После подтверждения разрешений вредоносная программа регистрирует службу с идентификатором com.delivery.security.MainService и немедленно запускает действие, имитирующее проверку личности на основе одноразового пароля (OTP). На этом поддельном экране аутентификации запрашивается номер доставки, который жестко закодирован в APK-файле как 742938128549 и, вероятно, предоставляется жертвам на начальном этапе фишинга.
Обманчивая аутентификация и скрытое компрометирование
После ввода номера отправления приложение генерирует случайный шестизначный проверочный код и отображает его в виде уведомления. Затем пользователю предлагается ввести этот код, что усиливает иллюзию легитимного процесса безопасности. После завершения приложение открывает WebView, указывающий на подлинную страницу отслеживания CJ Logistics, что создает впечатление достоверности действий.
Тем временем вредоносный компонент незаметно подключается к контролируемому злоумышленником серверу управления и контроля по адресу 27.102.137.181 на порту 50005. С этого момента вновь развернутый вариант DocSwap начинает работать как полнофункциональный троян удаленного доступа.
Возможности удаленного доступа и кража данных
Вредоносная программа способна получать десятки команд от своих операторов, что позволяет осуществлять масштабное наблюдение и контроль над зараженным устройством. Ее функциональность включает в себя возможность регистрации пользовательского ввода, мониторинга коммуникаций и извлечения конфиденциальных личных данных, превращая скомпрометированный смартфон в мощный инструмент шпионажа.
Приложения, зараженные троянами, и расширенное распространение.
Помимо поддельного приложения для доставки, исследователи выявили дополнительные вредоносные образцы, маскирующиеся под приложение для P2B-раздачи денег (Airdrop) и скомпрометированную версию легитимного VPN-продукта BYCOM VPN. Настоящее VPN-приложение доступно в Google Play и разработано индийской компанией Bycom Solutions. Анализ показывает, что Kimsuky внедрил вредоносный код в легитимный APK-файл и перепаковал его для использования в кампании.
Фишинговая инфраструктура и сбор учетных данных
Расследование инфраструктуры выявило фишинговые сайты, имитирующие популярные южнокорейские платформы, такие как Naver и Kakao. Эти сайты предназначены для кражи учетных данных пользователей и имеют сходство с более ранними операциями Kimsuky, которые были нацелены на пользователей Naver, что предполагает повторное использование и расширение существующей инфраструктуры.
Эволюция дизайна вредоносного ПО
Хотя развернутое вредоносное ПО по-прежнему запускает службу RAT, аналогичную предыдущим инструментам Kimsuky, оно демонстрирует заметную эволюцию. Использование новой встроенной функции расшифровки для встроенного APK-файла и включение нескольких ложных действий указывают на продолжающуюся разработку и попытку избежать обнаружения при одновременном повышении эффективности.
