DocSwap mobil skadlig programvara
Att vara uppmärksam på nya mobila hot är avgörande, eftersom aktörer med kopplingar till statliga myndigheter fortsätter att förfina tekniker för social ingenjörskonst och leverans av skadlig kod. En nyligen genomförd kampanj som tillskrivits den nordkoreanska gruppen Kimsuky belyser hur angripare blandar nätfiske, QR-koder och trojanska Android-appar för att kompromettera offrens enheter.
Innehållsförteckning
Kimsukys senaste Android-kampanj avslöjad
Säkerhetsforskare har kopplat Kimsuky till en ny operation som distribuerar en ny variant av Android-skadlig programvara som kallas DocSwap. Kampanjen utnyttjar nätfiskewebbplatser som utger sig för att vara det välkända Seoul-baserade logistikföretaget CJ Logistics, tidigare kallat CJ Korea Express. Dessa falska sidor är utformade för att verka trovärdiga och rikta in sig på användare som förväntar sig aviseringar om leveranser.
QR-koder och falska varningar som infektionsvektorer
Angriparna förlitar sig i hög grad på QR-koder och vilseledande popup-fönster för att locka användare att installera skadliga program. När nätfiskesidan öppnas från en stationär dator visar den en QR-kod som uppmanar besökaren att skanna den med en Android-enhet. Denna omdirigeringsteknik driver offret mot att installera vad som presenteras som en app för spårning av försändelser eller säkerhetsverifiering.
För att ytterligare förstärka bedrägeriet kör nätfiskesidan ett spårningsskript från PHP som inspekterar webbläsarens användaragent. Baserat på denna kontroll visas meddelanden som uppmanar användarna att installera en så kallad säkerhetsmodul, som påstås krävas för att följa "internationella tullsäkerhetspolicyer". Denna berättelse är avsedd att rättfärdiga installationsbegäran och minska misstanken.
Kringgå Android-säkerhetsvarningar
Eftersom Android begränsar installationer från okända källor och visar tydliga varningar, hävdar hotaktörerna felaktigt att appen är en officiell och säker version. Denna sociala ingenjörskonsttaktik pressar offren att ignorera inbyggda skydd och fortsätta med installationen trots varningarna.
Leverans- och exekveringskedja för skadlig APK
Om offret samtycker laddas en APK med namnet SecDelivery.apk ner från servern på 27.102.137.181. När paketet har startats dekrypterar det en krypterad APK som är inbäddad i dess egna resurser. Innan nyttolasten aktiveras verifierar den att den har fått behörighet att hantera extern lagring, komma åt internet och installera ytterligare paket.
Efter att behörigheter har bekräftats registrerar skadlig programvara en tjänst identifierad som com.delivery.security.MainService och startar omedelbart en aktivitet som utger sig för att vara en OTP-baserad identitetskontroll. Denna falska autentiseringsskärm begär ett leveransnummer, vilket är hårdkodat i APK:n som 742938128549 och troligen tillhandahålls offren under det inledande nätfiskesteget.
Bedräglig autentisering och tyst kompromiss
När leveransnumret anges genererar appen en slumpmässig sexsiffrig verifieringskod och visar den som en avisering. Användaren uppmanas sedan att ange koden, vilket förstärker illusionen av en legitim säkerhetsprocess. När det är klart öppnar appen en WebView som pekar på den genuina CJ Logistics-spårningssidan, vilket gör att aktiviteten ser autentisk ut.
Samtidigt ansluter den skadliga komponenten tyst till en angriparstyrd kommando- och kontrollserver på 27.102.137.181 på port 50005. Från och med nu fungerar den nyligen driftsatta DocSwap-varianten som en fullfjädrad fjärråtkomsttrojan.
Fjärråtkomstfunktioner och datastöld
Den skadliga programvaran kan ta emot dussintals kommandon från sina operatörer, vilket möjliggör omfattande övervakning och kontroll över den infekterade enheten. Dess funktionalitet inkluderar möjligheten att logga användarinmatning, övervaka kommunikation och extrahera känsliga personuppgifter, vilket förvandlar den komprometterade smarttelefonen till ett kraftfullt spionverktyg.
Trojaniserade appar och utökad distribution
Utöver den falska leveransappen identifierade forskare ytterligare skadliga exempel som utgav sig för att vara en P2B Airdrop-applikation och en komprometterad version av en legitim VPN-produkt, BYCOM VPN. Den äkta VPN-appen finns tillgänglig på Google Play och är utvecklad av det indiska företaget Bycom Solutions. Analysen tyder på att Kimsuky injicerade skadlig kod i den legitima APK-filen och paketerade om den för användning i kampanjen.
Nätfiskeinfrastruktur och insamling av autentiseringsuppgifter
Undersökningar av den stödjande infrastrukturen avslöjade nätfiskewebbplatser som imiterade populära sydkoreanska plattformar som Naver och Kakao. Dessa webbplatser är utformade för att stjäla användaruppgifter och visar överlappningar med tidigare Kimsuky-operationer som specifikt riktade sig mot Naver-användare, vilket tyder på återanvändning och utbyggnad av etablerad infrastruktur.
Utvecklande design av skadlig kod
Även om den installerade skadliga programvaran fortfarande lanserar en RAT-tjänst liknande tidigare Kimsuky-verktyg, uppvisar den en anmärkningsvärd utveckling. Användningen av en ny inbyggd dekrypteringsfunktion för den inbäddade APK:n och inkluderingen av flera lockbeteenden indikerar fortsatt utveckling och en ansträngning att undvika upptäckt samtidigt som effektiviteten ökar.
