Mobilný malvér DocSwap
Je nevyhnutné zostať ostražití voči vyvíjajúcim sa mobilným hrozbám, pretože aktéri prepojení so štátom neustále zdokonaľujú techniky sociálneho inžinierstva a šírenia škodlivého softvéru. Nedávna kampaň pripisovaná severokórejskej skupine Kimsuky zdôrazňuje, ako útočníci kombinujú phishing, QR kódy a aplikácie pre Android napadnuté trójskymi koňmi, aby ohrozili zariadenia obetí.
Obsah
Odhalená najnovšia kampaň Kimsuky pre Android
Bezpečnostní výskumníci prepojili Kimsuky s novou operáciou distribuujúcou nový variant malvéru pre Android známy ako DocSwap. Kampaň zneužíva phishingové webové stránky, ktoré sa vydávajú za známu logistickú spoločnosť CJ Logistics so sídlom v Soule, predtým známu ako CJ Korea Express. Tieto falošné stránky sú navrhnuté tak, aby pôsobili dôveryhodne a zameriavajú sa na používateľov očakávajúcich upozornenia týkajúce sa zásielok.
QR kódy a falošné upozornenia ako vektory infekcie
Útočníci sa vo veľkej miere spoliehajú na QR kódy a klamlivé kontextové okná s upozorneniami, aby nalákali používateľov na inštaláciu škodlivých aplikácií. Pri prístupe z počítača sa na phishingovej stránke zobrazí QR kód, ktorý návštevníka vyzve na jeho naskenovanie pomocou zariadenia so systémom Android. Táto technika presmerovania núti obeť k inštalácii aplikácie, ktorá sa prezentuje ako aplikácia na sledovanie zásielok alebo overovanie bezpečnosti.
Na podporu tohto klamstva phishingová stránka spúšťa sledovací PHP skript, ktorý kontroluje používateľského agenta prehliadača. Na základe tejto kontroly sa používateľom zobrazujú správy, ktoré ich vyzývajú na inštaláciu tzv. bezpečnostného modulu, ktorý je údajne potrebný na dodržiavanie „medzinárodných colných bezpečnostných politík“. Táto informácia má odôvodniť žiadosť o inštaláciu a znížiť podozrenie.
Obchádzanie bezpečnostných upozornení systému Android
Keďže Android obmedzuje inštalácie z neznámych zdrojov a zobrazuje výrazné upozornenia, útočníci falošne tvrdia, že aplikácia je oficiálnou a bezpečnou verziou. Táto taktika sociálneho inžinierstva núti obete ignorovať vstavané ochrany a pokračovať v inštalácii napriek upozorneniam.
Reťazec doručovania a vykonávania škodlivého súboru APK
Ak obeť súhlasí, zo servera na adrese 27.102.137.181 sa stiahne súbor APK s názvom SecDelivery.apk. Po spustení tento balík dešifruje zašifrovaný súbor APK vložený do vlastných zdrojov. Pred aktiváciou obsahu overí, či získal povolenia na správu externého úložiska, prístup na internet a inštaláciu ďalších balíkov.
Po potvrdení povolení malvér zaregistruje službu identifikovanú ako com.delivery.security.MainService a okamžite spustí aktivitu, ktorá sa vydáva za kontrolu identity založenú na OTP. Táto falošná autentifikačná obrazovka vyžaduje doručovacie číslo, ktoré je v APK pevne zakódované ako 742938128549 a pravdepodobne sa obetiam poskytne počas počiatočného kroku phishingu.
Klamlivé overovanie a tiché ohrozenie
Po zadaní čísla doručenia aplikácia vygeneruje náhodný šesťmiestny overovací kód a zobrazí ho ako upozornenie. Používateľ je potom vyzvaný na zadanie tohto kódu, čím sa posilní ilúzia legitímneho bezpečnostného procesu. Po dokončení aplikácia otvorí WebView odkazujúci na skutočnú stránku sledovania CJ Logistics, vďaka čomu aktivita vyzerá autenticky.
Medzitým sa škodlivý komponent potichu pripojí k útočníkom ovládanému serveru velenia a riadenia na adrese 27.102.137.181 na porte 50005. Od tohto bodu novo nasadený variant DocSwap funguje ako plnohodnotný trójsky kôň pre vzdialený prístup.
Možnosti vzdialeného prístupu a krádež údajov
Malvér dokáže prijímať desiatky príkazov od svojich operátorov, čo umožňuje rozsiahly dohľad a kontrolu nad infikovaným zariadením. Jeho funkcie zahŕňajú schopnosť zaznamenávať vstupy používateľov, monitorovať komunikáciu a extrahovať citlivé osobné údaje, čím sa napadnutý smartfón premení na silný špionážny nástroj.
Aplikácie s trójskymi koňmi a rozšírená distribúcia
Okrem falošnej doručovacej aplikácie výskumníci identifikovali ďalšie škodlivé vzorky maskované ako aplikácia P2B Airdrop a kompromitovanú verziu legitímneho produktu VPN, BYCOM VPN. Originálna aplikácia VPN je dostupná v službe Google Play a vyvinula ju indická spoločnosť Bycom Solutions. Analýza naznačuje, že Kimsuky vložil škodlivý kód do legitímneho súboru APK a prebalil ho na použitie v kampani.
Phishingová infraštruktúra a zhromažďovanie prihlasovacích údajov
Vyšetrovanie podpornej infraštruktúry odhalilo phishingové webové stránky napodobňujúce populárne juhokórejské platformy ako Naver a Kakao. Tieto stránky sú navrhnuté tak, aby ukradli používateľské prihlasovacie údaje a prekrývajú sa s predchádzajúcimi operáciami Kimsuky, ktoré sa špecificky zameriavali na používateľov Naveru, čo naznačuje opätovné použitie a rozšírenie zavedenej infraštruktúry.
Vyvíjajúci sa dizajn malvéru
Hoci nasadený malvér stále spúšťa službu RAT podobnú predchádzajúcim nástrojom Kimsuky, vykazuje výrazný vývoj. Použitie novej natívnej dešifrovacej funkcie pre vložený súbor APK a zahrnutie viacerých návnadových správaní naznačuje prebiehajúci vývoj a snahu vyhnúť sa odhaleniu a zároveň zvýšiť efektivitu.
