DocSwap мобилни злонамерни софтвер
Будите опрезни са развојем мобилних претњи је неопходан, јер актери повезани са државама настављају да усавршавају технике социјалног инжењеринга и испоруке злонамерног софтвера. Недавна кампања која се приписује севернокорејској групи Кимсуки истиче како нападачи комбинују фишинг, QR кодове и тројанизоване Андроид апликације како би компромитовали уређаје жртава.
Преглед садржаја
Откривена најновија Кимсукијева Андроид кампања
Истраживачи безбедности повезали су Кимсуки са новом операцијом која дистрибуира нову варијанту злонамерног софтвера за Андроид познату као DocSwap. Кампања злоупотребљава фишинг веб странице које се представљају као позната логистичка компанија CJ Logistics са седиштем у Сеулу, раније позната као CJ Korea Express. Ове лажне странице су дизајниране да делују поуздано и циљају кориснике који очекују обавештења везана за пошиљке.
QR кодови и лажна упозорења као вектори инфекције
Нападачи се у великој мери ослањају на QR кодове и обмањујуће искачуће прозоре са обавештењима како би намамили кориснике да инсталирају злонамерне апликације. Када се приступи са десктоп рачунара, фишинг страница приказује QR код који подстиче посетиоца да га скенира Андроид уређајем. Ова техника преусмеравања подстиче жртву да инсталира оно што се представља као апликација за праћење пошиљки или безбедносну верификацију.
Да би се обмана додатно појачала, фишинг страница покреће PHP скрипту за праћење која проверава кориснички агент прегледача. На основу ове провере, корисницима се приказују поруке које их позивају да инсталирају такозвани безбедносни модул, наводно потребан за усклађивање са „међународним царинским безбедносним политикама“. Ова нарација има за циљ да оправда захтев за инсталацију и смањи сумњу.
Заобилажење безбедносних упозорења за Андроид
Пошто Андроид ограничава инсталације из непознатих извора и приказује истакнута упозорења, претње лажно тврде да је апликација званично и безбедно издање. Ова тактика социјалног инжењеринга врши притисак на жртве да игноришу уграђене заштите и наставе са инсталацијом упркос упозорењима.
Ланац испоруке и извршавања злонамерног APK-а
Ако жртва пристане, APK под називом SecDelivery.apk се преузима са сервера на адреси 27.102.137.181. Након покретања, овај пакет дешифрује шифровани APK уграђен у сопствене ресурсе. Пре активирања корисног терета, проверава да ли је добио дозволе за управљање екстерном меморијом, приступ интернету и инсталирање додатних пакета.
Након што се дозволе потврде, злонамерни софтвер региструје сервис идентификован као com.delivery.security.MainService и одмах покреће активност која се представља као провера идентитета заснована на OTP-у. Овај лажни екран за аутентификацију захтева број за испоруку, који је чврсто кодиран у APK-у као 742938128549 и вероватно се доставља жртвама током почетног корака фишинга.
Обмањујућа аутентификација и тиха компромитација
Након уноса броја испоруке, апликација генерише случајни шестоцифрени верификациони код и приказује га као обавештење. Корисник се затим позива да унесе овај код, појачавајући илузију легитимног безбедносног процеса. Након завршетка, апликација отвара WebView који указује на оригиналну страницу за праћење CJ Logistics, чинећи да активност изгледа аутентично.
У међувремену, злонамерна компонента се тихо повезује са командно-контролним сервером којим управља нападач на адреси 27.102.137.181 на порту 50005. Од ове тачке, новораспоређена варијанта DocSwap функционише као тројански вирус за даљински приступ са свим функцијама.
Могућности удаљеног приступа и крађа података
Злонамерни софтвер је способан да прима десетине команди од својих оператера, омогућавајући опсежан надзор и контролу над зараженим уређајем. Његова функционалност укључује могућност евидентирања корисничког уноса, праћења комуникације и издвајања осетљивих личних података, претварајући угрожени паметни телефон у моћно оруђе за шпијунажу.
Тројанизоване апликације и проширена дистрибуција
Поред лажне апликације за испоруку, истраживачи су идентификовали додатне злонамерне узорке маскиране као P2B Airdrop апликација и компромитовану верзију легитимног VPN производа, BYCOM VPN. Оригинална VPN апликација је доступна на Google Play-у и развила ју је индијска компанија Bycom Solutions. Анализа показује да је Кимсуки убризгао злонамерни код у легитимни APK и препаковао га за употребу у кампањи.
Фишинг инфраструктура и крађа акредитива
Истрага пратеће инфраструктуре открила је фишинг веб странице које имитирају популарне јужнокорејске платформе као што су Навер и Какао. Ове странице су дизајниране да украду корисничке акредитиве и показују преклапања са ранијим Кимсуки операцијама које су посебно циљале кориснике Навера, што сугерише поновну употребу и проширење успостављене инфраструктуре.
Еволуција дизајна злонамерног софтвера
Иако распоређени малвер и даље покреће RAT сервис сличан претходним Kimsuky алатима, он показује значајну еволуцију. Употреба нове изворне функције дешифровања за уграђени APK и укључивање вишеструких мамаца указују на континуирани развој и напор да се избегне откривање уз повећање ефикасности.
