DocSwap Mobile Malware
Të qëndrosh vigjilent ndaj kërcënimeve në zhvillim të celularëve është thelbësore, pasi aktorët e lidhur me shtetin vazhdojnë të përsosin inxhinierinë sociale dhe teknikat e shpërndarjes së programeve keqdashëse. Një fushatë e kohëve të fundit që i atribuohet grupit të Koresë së Veriut Kimsuky nxjerr në pah se si sulmuesit po përziejnë phishing, kodet QR dhe aplikacionet Android të trojanizuara për të kompromentuar pajisjet e viktimave.
Tabela e Përmbajtjes
Fushata më e fundit e Kimsuky-t për Android zbulohet
Studiuesit e sigurisë e kanë lidhur Kimsuky-n me një operacion të ri që shpërndan një variant të ri të malware-it për Android të njohur si DocSwap. Fushata abuzon me faqet e internetit të phishing-ut që imitojnë kompaninë e njohur të logjistikës me seli në Seul, CJ Logistics, e cila më parë quhej CJ Korea Express. Këto faqe të rreme janë krijuar për t'u dukur të besueshme dhe synojnë përdoruesit që presin njoftime në lidhje me dërgesat.
Kodet QR dhe alarmet e rreme si vektorë infeksioni
Sulmuesit mbështeten shumë në kodet QR dhe njoftimet mashtruese që shfaqen për të joshur përdoruesit të instalojnë aplikacione keqdashëse. Kur aksesohet nga një sistem desktopi, faqja e phishing shfaq një kod QR që i kërkon vizitorit ta skanojë atë me një pajisje Android. Kjo teknikë ridrejtimi e shtyn viktimën drejt instalimit të asaj që paraqitet si një aplikacion për gjurmimin e dërgesave ose verifikimin e sigurisë.
Për ta thelluar mashtrimin, faqja e phishing ekzekuton një skript gjurmues PHP që inspekton Agjentin e Përdoruesit të shfletuesit. Bazuar në këtë kontroll, përdoruesve u shfaqen mesazhe që i nxisin të instalojnë një të ashtuquajtur modul sigurie, i cili supozohet se kërkohet për t'u pajtuar me "politikat ndërkombëtare të sigurisë doganore". Ky rrëfim synon të justifikojë kërkesën për instalim dhe të ulë dyshimet.
Anashkalimi i paralajmërimeve të sigurisë së Android
Meqenëse Android kufizon instalimet nga burime të panjohura dhe shfaq paralajmërime të dukshme, aktorët kërcënues pretendojnë në mënyrë të rreme se aplikacioni është një version zyrtar dhe i sigurt. Kjo taktikë e inxhinierisë sociale i detyron viktimat të injorojnë mbrojtjet e integruara dhe të vazhdojnë me instalimin pavarësisht alarmeve.
Zinxhiri i Dorëzimit dhe Ekzekutimit të APK-ve keqdashëse
Nëse viktima pranon, një APK i quajtur SecDelivery.apk shkarkohet nga serveri në 27.102.137.181. Pasi të niset, kjo paketë dekripton një APK të enkriptuar të integruar brenda burimeve të veta. Përpara se të aktivizojë ngarkesën, ajo verifikon nëse ka marrë leje për të menaxhuar hapësirën e ruajtjes së jashtme, për të hyrë në internet dhe për të instaluar paketa shtesë.
Pasi të konfirmohen lejet, programi keqdashës regjistron një shërbim të identifikuar si com.delivery.security.MainService dhe menjëherë nis një aktivitet që paraqitet si një kontroll identiteti i bazuar në OTP. Ky ekran i rremë i vërtetimit kërkon një numër dorëzimi, i cili është i koduar në APK si 742938128549 dhe ka të ngjarë t'u jepet viktimave gjatë hapit fillestar të phishing-ut.
Autentifikimi Mashtrues dhe Kompromis i Heshtur
Pas futjes së numrit të dorëzimit, aplikacioni gjeneron një kod verifikimi të rastësishëm me gjashtë shifra dhe e shfaq atë si njoftim. Përdoruesit i kërkohet më pas të futë këtë kod, duke përforcuar iluzionin e një procesi legjitim sigurie. Pasi të përfundojë, aplikacioni hap një WebView që tregon faqen origjinale të gjurmimit të CJ Logistics, duke e bërë aktivitetin të duket autentik.
Ndërkohë, komponenti keqdashës lidhet në heshtje me një server komande dhe kontrolli të kontrolluar nga sulmuesi në 27.102.137.181 në portin 50005. Nga kjo pikë, varianti i sapo vendosur DocSwap funksionon si një trojan me akses të largët me funksione të plota.
Aftësitë e Qasjes në Distancë dhe Vjedhja e të Dhënave
Malware është i aftë të marrë dhjetëra komanda nga operatorët e tij, duke mundësuar mbikëqyrje dhe kontroll të gjerë mbi pajisjen e infektuar. Funksionaliteti i tij përfshin aftësinë për të regjistruar të dhënat e përdoruesit, për të monitoruar komunikimet dhe për të nxjerrë të dhëna personale të ndjeshme, duke e shndërruar telefonin inteligjent të kompromentuar në një mjet të fuqishëm spiunazhi.
Aplikacione të Trojanizuara dhe Shpërndarje e Zgjeruar
Përtej aplikacionit të rremë të shpërndarjes, studiuesit identifikuan mostra të tjera dashakeqe që maskoheshin si një aplikacion P2B Airdrop dhe një version i kompromentuar i një produkti legjitim VPN, BYCOM VPN. Aplikacioni i vërtetë VPN është i disponueshëm në Google Play dhe është zhvilluar nga kompania indiane Bycom Solutions. Analiza tregon se Kimsuky ka injektuar kod dashakeq në APK-në legjitime dhe e ka ripaketuar atë për t'u përdorur në fushatë.
Infrastruktura e Phishing dhe Mbledhja e Kredencialeve
Hetimi në infrastrukturën mbështetëse zbuloi faqe interneti phishing që imitonin platformat e njohura të Koresë së Jugut si Naver dhe Kakao. Këto faqe janë të dizajnuara për të vjedhur kredencialet e përdoruesve dhe për të treguar mbivendosje me operacionet e mëparshme të Kimsuky që synonin posaçërisht përdoruesit e Naver, duke sugjeruar ripërdorimin dhe zgjerimin e infrastrukturës së vendosur.
Dizajni në zhvillim e sipër i programeve keqdashëse
Ndërsa malware-i i vendosur ende nis një shërbim RAT të ngjashëm me mjetet e mëparshme Kimsuky, ai tregon një evolucion të dukshëm. Përdorimi i një funksioni të ri deshifrimi nativ për APK-në e integruar dhe përfshirja e sjelljeve të shumta mashtruese tregojnë zhvillim të vazhdueshëm dhe një përpjekje për të shmangur zbulimin, duke rritur njëkohësisht efektivitetin.
