DocSwap மொபைல் தீம்பொருள்

அரசுடன் தொடர்புடைய நிறுவனங்கள் சமூக பொறியியல் மற்றும் தீம்பொருள் விநியோக நுட்பங்களை தொடர்ந்து மேம்படுத்துவதால், வளர்ந்து வரும் மொபைல் அச்சுறுத்தல்கள் குறித்து விழிப்புடன் இருப்பது அவசியம். வட கொரிய குழுவான கிம்சுகிக்கு சொந்தமான சமீபத்திய பிரச்சாரம், பாதிக்கப்பட்டவர்களின் சாதனங்களை சமரசம் செய்ய தாக்குபவர்கள் ஃபிஷிங், QR குறியீடுகள் மற்றும் ட்ரோஜனேற்றப்பட்ட ஆண்ட்ராய்டு பயன்பாடுகளை எவ்வாறு கலக்கிறார்கள் என்பதை எடுத்துக்காட்டுகிறது.

கிம்சுகியின் சமீபத்திய ஆண்ட்ராய்டு பிரச்சாரம் கண்டுபிடிக்கப்பட்டது

பாதுகாப்பு ஆராய்ச்சியாளர்கள் கிம்சுகியை டாக்ஸ்வாப் எனப்படும் புதிய ஆண்ட்ராய்டு தீம்பொருள் மாறுபாட்டை விநியோகிக்கும் புதிய நடவடிக்கையுடன் தொடர்புபடுத்தியுள்ளனர். இந்த பிரச்சாரம் சியோலை தளமாகக் கொண்ட பிரபலமான தளவாட நிறுவனமான CJ லாஜிஸ்டிக்ஸ், முன்னர் CJ கொரியா எக்ஸ்பிரஸ் என்று அழைக்கப்பட்டது போல ஆள்மாறாட்டம் செய்யும் ஃபிஷிங் வலைத்தளங்களை துஷ்பிரயோகம் செய்கிறது. இந்த போலி பக்கங்கள் நம்பகமானதாகத் தோன்றும் வகையில் வடிவமைக்கப்பட்டுள்ளன, மேலும் ஏற்றுமதி தொடர்பான அறிவிப்புகளை எதிர்பார்க்கும் பயனர்களை இலக்காகக் கொண்டுள்ளன.

தொற்று பரப்பிகளாக QR குறியீடுகள் மற்றும் போலி எச்சரிக்கைகள்

தீங்கிழைக்கும் பயன்பாடுகளை நிறுவ பயனர்களை கவர்ந்திழுக்க, தாக்குபவர்கள் QR குறியீடுகள் மற்றும் ஏமாற்றும் அறிவிப்பு பாப்-அப்களை பெரிதும் நம்பியுள்ளனர். டெஸ்க்டாப் அமைப்பிலிருந்து அணுகும்போது, ஃபிஷிங் பக்கம் ஒரு QR குறியீட்டைக் காண்பிக்கும், இது பார்வையாளரை Android சாதனத்தைப் பயன்படுத்தி ஸ்கேன் செய்யத் தூண்டுகிறது. இந்த திசைதிருப்பல் நுட்பம் பாதிக்கப்பட்டவரை ஷிப்மென்ட் டிராக்கிங் அல்லது பாதுகாப்பு சரிபார்ப்பு செயலியாக வழங்கப்படுவதை நிறுவுவதற்குத் தள்ளுகிறது.

மேலும் ஏமாற்றுவதற்காக, ஃபிஷிங் பக்கம் உலாவியின் பயனர்-முகவரை ஆய்வு செய்யும் ஒரு கண்காணிப்பு PHP ஸ்கிரிப்டை இயக்குகிறது. இந்த சரிபார்ப்பின் அடிப்படையில், பயனர்களுக்கு 'சர்வதேச சுங்க பாதுகாப்பு கொள்கைகளுக்கு' இணங்க வேண்டியதாகக் கூறப்படும் பாதுகாப்பு தொகுதி என்று அழைக்கப்படுவதை நிறுவ வலியுறுத்தும் செய்திகள் காண்பிக்கப்படுகின்றன. இந்த விவரிப்பு நிறுவல் கோரிக்கையை நியாயப்படுத்தவும் சந்தேகத்தை குறைக்கவும் நோக்கமாகக் கொண்டுள்ளது.

Android பாதுகாப்பு எச்சரிக்கைகளைத் தவிர்ப்பது

ஆண்ட்ராய்டு அறியப்படாத மூலங்களிலிருந்து நிறுவல்களைக் கட்டுப்படுத்துவதாலும், முக்கிய எச்சரிக்கைகளைக் காண்பிப்பதாலும், அச்சுறுத்தல் நடிகர்கள் இந்த செயலி ஒரு அதிகாரப்பூர்வமான மற்றும் பாதுகாப்பான வெளியீடு என்று பொய்யாகக் கூறுகின்றனர். இந்த சமூக பொறியியல் தந்திரோபாயம் பாதிக்கப்பட்டவர்களை உள்ளமைக்கப்பட்ட பாதுகாப்புகளைப் புறக்கணித்து, எச்சரிக்கைகள் இருந்தபோதிலும் நிறுவலைத் தொடரும்படி கட்டாயப்படுத்துகிறது.

தீங்கிழைக்கும் APK டெலிவரி மற்றும் செயல்படுத்தல் சங்கிலி

பாதிக்கப்பட்டவர் ஒப்புக்கொண்டால், SecDelivery.apk என்ற APK 27.102.137.181 என்ற எண்ணில் சேவையகத்திலிருந்து பதிவிறக்கம் செய்யப்படும். தொடங்கப்பட்டதும், இந்த தொகுப்பு அதன் சொந்த வளங்களுக்குள் உட்பொதிக்கப்பட்ட மறைகுறியாக்கப்பட்ட APK ஐ மறைகுறியாக்குகிறது. பேலோடை செயல்படுத்துவதற்கு முன், வெளிப்புற சேமிப்பிடத்தை நிர்வகிக்கவும், இணையத்தை அணுகவும், கூடுதல் தொகுப்புகளை நிறுவவும் அனுமதிகளைப் பெற்றுள்ளதா என்பதை இது சரிபார்க்கிறது.

அனுமதிகள் உறுதிசெய்யப்பட்ட பிறகு, தீம்பொருள் com.delivery.security.MainService என அடையாளம் காணப்பட்ட ஒரு சேவையைப் பதிவுசெய்து, உடனடியாக OTP- அடிப்படையிலான அடையாளச் சரிபார்ப்பாகக் காட்டிக் கொள்ளும் செயல்பாட்டைத் தொடங்குகிறது. இந்தப் போலி அங்கீகாரத் திரை ஒரு டெலிவரி எண்ணைக் கோருகிறது, இது APK இல் 742938128549 என கடின-குறியீடு செய்யப்பட்டுள்ளது மற்றும் ஆரம்ப ஃபிஷிங் படியின் போது பாதிக்கப்பட்டவர்களுக்கு வழங்கப்படும்.

ஏமாற்றும் அங்கீகாரம் மற்றும் அமைதியான சமரசம்

டெலிவரி எண்ணை உள்ளிடும்போது, செயலி ஒரு சீரற்ற ஆறு இலக்க சரிபார்ப்புக் குறியீட்டை உருவாக்கி அதை ஒரு அறிவிப்பாகக் காண்பிக்கும். பின்னர் பயனர் இந்தக் குறியீட்டை உள்ளிடுமாறு கேட்கப்படுவார், இது ஒரு முறையான பாதுகாப்பு செயல்முறையின் மாயையை வலுப்படுத்துகிறது. முடிந்ததும், செயலி உண்மையான CJ லாஜிஸ்டிக்ஸ் கண்காணிப்புப் பக்கத்தைக் குறிக்கும் ஒரு WebView ஐத் திறக்கும், இதனால் செயல்பாடு உண்மையானதாகத் தோன்றும்.

இதற்கிடையில், தீங்கிழைக்கும் கூறு போர்ட் 50005 இல் 27.102.137.181 இல் தாக்குபவர் கட்டுப்படுத்தும் கட்டளை மற்றும் கட்டுப்பாட்டு சேவையகத்துடன் அமைதியாக இணைகிறது. இந்த கட்டத்தில் இருந்து, புதிதாக பயன்படுத்தப்பட்ட DocSwap மாறுபாடு முழு அம்சங்களுடன் கூடிய தொலைநிலை அணுகல் ட்ரோஜனாக செயல்படுகிறது.

தொலைநிலை அணுகல் திறன்கள் மற்றும் தரவு திருட்டு

இந்த தீம்பொருள் அதன் ஆபரேட்டர்களிடமிருந்து டஜன் கணக்கான கட்டளைகளைப் பெறும் திறன் கொண்டது, பாதிக்கப்பட்ட சாதனத்தின் மீது விரிவான கண்காணிப்பு மற்றும் கட்டுப்பாட்டை செயல்படுத்துகிறது. அதன் செயல்பாட்டில் பயனர் உள்ளீட்டைப் பதிவு செய்தல், தகவல்தொடர்புகளைக் கண்காணித்தல் மற்றும் முக்கியமான தனிப்பட்ட தரவைப் பிரித்தெடுத்தல் ஆகியவை அடங்கும், இதனால் சமரசம் செய்யப்பட்ட ஸ்மார்ட்போனை ஒரு சக்திவாய்ந்த உளவு கருவியாக மாற்றுகிறது.

ட்ரோஜனேற்றப்பட்ட பயன்பாடுகள் மற்றும் விரிவாக்கப்பட்ட விநியோகம்

போலி டெலிவரி செயலியைத் தவிர, ஆராய்ச்சியாளர்கள் P2B ஏர்டிராப் செயலியாக மாறுவேடமிட்டு கூடுதல் தீங்கிழைக்கும் மாதிரிகளையும், முறையான VPN தயாரிப்பான BYCOM VPN இன் சமரசம் செய்யப்பட்ட பதிப்பையும் அடையாளம் கண்டுள்ளனர். உண்மையான VPN செயலி கூகிள் பிளேயில் கிடைக்கிறது, மேலும் இது இந்திய நிறுவனமான பைகாம் சொல்யூஷன்ஸால் உருவாக்கப்பட்டது. கிம்சுகி முறையான APK-யில் தீங்கிழைக்கும் குறியீட்டை செலுத்தி, பிரச்சாரத்தில் பயன்படுத்த மீண்டும் பேக் செய்ததாக பகுப்பாய்வு சுட்டிக்காட்டுகிறது.

ஃபிஷிங் உள்கட்டமைப்பு மற்றும் நற்சான்றிதழ் அறுவடை

துணை உள்கட்டமைப்பு மீதான விசாரணையில், நேவர் மற்றும் ககாவோ போன்ற பிரபலமான தென் கொரிய தளங்களைப் பின்பற்றும் ஃபிஷிங் வலைத்தளங்கள் தெரியவந்தது. இந்த தளங்கள் பயனர் சான்றுகளைத் திருடவும், நேவர் பயனர்களை குறிப்பாக குறிவைத்த முந்தைய கிம்சுகி செயல்பாடுகளுடன் ஒன்றுடன் ஒன்று தொடர்புடையதாகக் காட்டவும் வடிவமைக்கப்பட்டுள்ளன, இது நிறுவப்பட்ட உள்கட்டமைப்பின் மறுபயன்பாடு மற்றும் விரிவாக்கத்தை பரிந்துரைக்கிறது.

வளர்ந்து வரும் தீம்பொருள் வடிவமைப்பு

பயன்படுத்தப்பட்ட தீம்பொருள் முந்தைய கிம்சுகி கருவிகளைப் போலவே RAT சேவையையும் இன்னும் அறிமுகப்படுத்தினாலும், அது குறிப்பிடத்தக்க பரிணாம வளர்ச்சியைக் காட்டுகிறது. உட்பொதிக்கப்பட்ட APK-க்கு ஒரு புதிய சொந்த மறைகுறியாக்க செயல்பாட்டைப் பயன்படுத்துவதும், பல ஏமாற்று நடத்தைகளைச் சேர்ப்பதும் தொடர்ச்சியான வளர்ச்சியையும், செயல்திறனை அதிகரிக்கும் அதே வேளையில் கண்டறிதலைத் தவிர்ப்பதற்கான முயற்சியையும் குறிக்கிறது.