Zlonamerna programska oprema DocSwap za mobilne naprave
Bistvenega pomena je biti pozoren na razvijajoče se mobilne grožnje, saj akterji, povezani z državo, še naprej izpopolnjujejo tehnike socialnega inženiringa in dostave zlonamerne programske opreme. Nedavna kampanja, ki jo pripisujejo severnokorejski skupini Kimsuky, poudarja, kako napadalci združujejo lažno predstavljanje, QR kode in trojanske aplikacije za Android, da bi ogrozili naprave žrtev.
Kazalo
Razkrita najnovejša kampanja Kimsuky za Android
Varnostni raziskovalci so Kimsuky povezali z novo operacijo, ki distribuira novo različico zlonamerne programske opreme za Android, znano kot DocSwap. Kampanja zlorablja lažna spletna mesta, ki se izdajajo za znano logistično podjetje CJ Logistics s sedežem v Seulu, prej imenovano CJ Korea Express. Te lažne strani so zasnovane tako, da delujejo zaupanja vredno in so namenjene uporabnikom, ki pričakujejo obvestila o pošiljkah.
QR kode in lažna opozorila kot vektorji okužb
Napadalci se močno zanašajo na QR kode in zavajajoča pojavna okna z obvestili, da bi uporabnike zvabili v namestitev zlonamernih aplikacij. Ko stran dostopajo z namiznega računalnika, se na phishing strani prikaže QR koda, ki obiskovalca pozove, da jo skenira z napravo Android. Ta tehnika preusmeritve žrtev spodbudi k namestitvi aplikacije, ki je predstavljena kot aplikacija za sledenje pošiljkam ali varnostno preverjanje.
Za nadaljnjo prevaro stran z lažnim predstavljanjem izvaja sledilni PHP skript, ki pregleduje uporabniškega agenta brskalnika. Na podlagi tega preverjanja se uporabnikom prikažejo sporočila, ki jih pozivajo k namestitvi tako imenovanega varnostnega modula, ki naj bi bil potreben za skladnost z "mednarodnimi carinskimi varnostnimi politikami". Namen te pripovedi je upravičiti zahtevo za namestitev in zmanjšati sum.
Obhod varnostnih opozoril sistema Android
Ker Android omejuje namestitve iz neznanih virov in prikazuje vidna opozorila, akterji grožnje lažno trdijo, da je aplikacija uradna in varna izdaja. Ta taktika socialnega inženiringa žrtve sili, da ignorirajo vgrajene zaščite in nadaljujejo z namestitvijo kljub opozorilom.
Dostava in izvajalna veriga zlonamernega APK-ja
Če se žrtev strinja, se s strežnika na naslovu 27.102.137.181 prenese APK z imenom SecDelivery.apk. Ko se zažene, ta paket dešifrira šifriran APK, vdelan v lastne vire. Preden aktivira koristni tovor, preveri, ali je pridobil dovoljenja za upravljanje zunanjega pomnilnika, dostop do interneta in namestitev dodatnih paketov.
Ko so dovoljenja potrjena, zlonamerna programska oprema registrira storitev, identificirano kot com.delivery.security.MainService, in takoj zažene aktivnost, ki se pretvarja, da je preverjanje identitete na podlagi enkratnega gesla (OTP). Ta lažni zaslon za preverjanje pristnosti zahteva številko dostave, ki je v APK-ju trdo kodirana kot 742938128549 in je žrtvam verjetno posredovana med začetnim korakom lažnega predstavljanja.
Zavajajoča avtentikacija in tiha ogrožitev
Ob vnosu številke dostave aplikacija ustvari naključno šestmestno potrditveno kodo in jo prikaže kot obvestilo. Uporabnik je nato pozvan, da vnese to kodo, kar okrepi iluzijo legitimnega varnostnega postopka. Ko je postopek končan, aplikacija odpre spletni pogled, ki kaže na pristno stran za sledenje CJ Logistics, zaradi česar je dejavnost videti pristna.
Medtem se zlonamerna komponenta tiho poveže z napadalčevim strežnikom za upravljanje in nadzor na naslovu 27.102.137.181 na vratih 50005. Od te točke naprej na novo nameščena različica DocSwap deluje kot trojanski konj za oddaljeni dostop s polnimi funkcijami.
Zmogljivosti oddaljenega dostopa in kraje podatkov
Zlonamerna programska oprema lahko od svojih operaterjev prejme na desetine ukazov, kar omogoča obsežen nadzor in nadzor nad okuženo napravo. Njena funkcionalnost vključuje beleženje uporabniških vnosov, spremljanje komunikacije in pridobivanje občutljivih osebnih podatkov, s čimer ogroženi pametni telefon spremeni v močno orodje za vohunjenje.
Trojanske aplikacije in razširjena distribucija
Poleg lažne aplikacije za dostavo so raziskovalci odkrili še dodatne zlonamerne vzorce, ki so se maskirali kot aplikacija P2B Airdrop, in ogroženo različico legitimnega izdelka VPN, BYCOM VPN. Originalna aplikacija VPN je na voljo v trgovini Google Play in jo je razvilo indijsko podjetje Bycom Solutions. Analiza kaže, da je Kimsuky v legitimni APK vbrizgal zlonamerno kodo in ga preoblikoval za uporabo v kampanji.
Infrastruktura za lažno predstavljanje in pridobivanje poverilnic
Preiskava podporne infrastrukture je razkrila lažna spletna mesta, ki posnemajo priljubljene južnokorejske platforme, kot sta Naver in Kakao. Ta spletna mesta so zasnovana za krajo uporabniških poverilnic in kažejo prekrivanja s prejšnjimi operacijami Kimsuky, ki so bile posebej usmerjene na uporabnike Naverja, kar nakazuje na ponovno uporabo in širitev obstoječe infrastrukture.
Razvoj zasnove zlonamerne programske opreme
Čeprav nameščena zlonamerna programska oprema še vedno zažene storitev RAT, podobno kot prejšnja orodja Kimsuky, kaže opazen razvoj. Uporaba nove izvorne funkcije dešifriranja za vgrajeni APK in vključitev več vab kažeta na nenehen razvoj in prizadevanja za izogibanje odkrivanju ob hkratnem povečanju učinkovitosti.
