డాక్స్వాప్ మొబైల్ మాల్వేర్

రాష్ట్ర-సంబంధిత సంస్థలు సోషల్ ఇంజనీరింగ్ మరియు మాల్వేర్ డెలివరీ పద్ధతులను మెరుగుపరుస్తూనే ఉన్నందున, అభివృద్ధి చెందుతున్న మొబైల్ ముప్పుల పట్ల అప్రమత్తంగా ఉండటం చాలా అవసరం. ఉత్తర కొరియా గ్రూప్ కిమ్సుకీకి ఆపాదించబడిన ఇటీవలి ప్రచారం, బాధితుల పరికరాలను రాజీ చేయడానికి దాడి చేసేవారు ఫిషింగ్, QR కోడ్‌లు మరియు ట్రోజనైజ్డ్ ఆండ్రాయిడ్ యాప్‌లను ఎలా మిళితం చేస్తున్నారో హైలైట్ చేస్తుంది.

కిమ్సుకీ తాజా ఆండ్రాయిడ్ ప్రచారం బయటపడింది

డాక్స్వాప్ అని పిలువబడే కొత్త ఆండ్రాయిడ్ మాల్వేర్ వేరియంట్‌ను పంపిణీ చేసే తాజా ఆపరేషన్‌తో కిమ్సుకీని భద్రతా పరిశోధకులు అనుసంధానించారు. ఈ ప్రచారం సియోల్‌కు చెందిన ప్రసిద్ధ లాజిస్టిక్స్ కంపెనీ CJ లాజిస్టిక్స్, గతంలో CJ కొరియా ఎక్స్‌ప్రెస్ అని పిలువబడే దాని వలె నటించే ఫిషింగ్ వెబ్‌సైట్‌లను దుర్వినియోగం చేస్తుంది. ఈ నకిలీ పేజీలు విశ్వసనీయమైనవిగా కనిపించేలా మరియు షిప్‌మెంట్ సంబంధిత నోటిఫికేషన్‌లను ఆశించే వినియోగదారులను లక్ష్యంగా చేసుకునేలా రూపొందించబడ్డాయి.

ఇన్ఫెక్షన్ వెక్టర్లుగా QR కోడ్‌లు మరియు నకిలీ హెచ్చరికలు

వినియోగదారులను హానికరమైన అప్లికేషన్‌లను ఇన్‌స్టాల్ చేసుకునేలా ప్రలోభపెట్టడానికి దాడి చేసేవారు QR కోడ్‌లు మరియు మోసపూరిత నోటిఫికేషన్ పాప్-అప్‌లపై ఎక్కువగా ఆధారపడతారు. డెస్క్‌టాప్ సిస్టమ్ నుండి యాక్సెస్ చేసినప్పుడు, ఫిషింగ్ పేజీ QR కోడ్‌ను ప్రదర్శిస్తుంది, ఇది సందర్శకుడిని Android పరికరంతో స్కాన్ చేయమని అడుగుతుంది. ఈ దారి మళ్లింపు సాంకేతికత బాధితుడిని షిప్‌మెంట్ ట్రాకింగ్ లేదా భద్రతా ధృవీకరణ యాప్‌గా ప్రదర్శించబడిన వాటిని ఇన్‌స్టాల్ చేసే దిశగా నెట్టివేస్తుంది.

మోసాన్ని మరింతగా పెంచడానికి, ఫిషింగ్ పేజీ బ్రౌజర్ యొక్క యూజర్-ఏజెంట్‌ను తనిఖీ చేసే ట్రాకింగ్ PHP స్క్రిప్ట్‌ను అమలు చేస్తుంది. ఈ తనిఖీ ఆధారంగా, వినియోగదారులకు 'అంతర్జాతీయ కస్టమ్స్ భద్రతా విధానాలకు' అనుగుణంగా ఉండేలా భద్రతా మాడ్యూల్ అని పిలవబడే వాటిని ఇన్‌స్టాల్ చేయమని కోరుతూ సందేశాలు చూపబడతాయి. ఈ కథనం ఇన్‌స్టాలేషన్ అభ్యర్థనను సమర్థించడానికి మరియు అనుమానాన్ని తగ్గించడానికి ఉద్దేశించబడింది.

Android భద్రతా హెచ్చరికలను దాటవేయడం

ఆండ్రాయిడ్ తెలియని మూలాల నుండి ఇన్‌స్టాలేషన్‌లను పరిమితం చేస్తుంది మరియు ప్రముఖ హెచ్చరికలను ప్రదర్శిస్తుంది కాబట్టి, బెదిరింపు నటులు యాప్ అధికారిక మరియు సురక్షితమైన విడుదల అని తప్పుగా పేర్కొంటున్నారు. ఈ సోషల్ ఇంజనీరింగ్ వ్యూహం బాధితులను అంతర్నిర్మిత రక్షణలను విస్మరించి, హెచ్చరికలు ఉన్నప్పటికీ ఇన్‌స్టాలేషన్‌తో కొనసాగమని ఒత్తిడి చేస్తుంది.

హానికరమైన APK డెలివరీ మరియు అమలు గొలుసు

బాధితుడు అంగీకరిస్తే, SecDelivery.apk అనే APK సర్వర్ నుండి 27.102.137.181 వద్ద డౌన్‌లోడ్ చేయబడుతుంది. ప్రారంభించిన తర్వాత, ఈ ప్యాకేజీ దాని స్వంత వనరులలో పొందుపరచబడిన ఎన్‌క్రిప్టెడ్ APKని డీక్రిప్ట్ చేస్తుంది. పేలోడ్‌ను యాక్టివేట్ చేసే ముందు, బాహ్య నిల్వను నిర్వహించడానికి, ఇంటర్నెట్‌ను యాక్సెస్ చేయడానికి మరియు అదనపు ప్యాకేజీలను ఇన్‌స్టాల్ చేయడానికి అనుమతులను పొందిందని ఇది ధృవీకరిస్తుంది.

అనుమతులు నిర్ధారించబడిన తర్వాత, మాల్వేర్ com.delivery.security.MainServiceగా గుర్తించబడిన సేవను నమోదు చేస్తుంది మరియు వెంటనే OTP-ఆధారిత గుర్తింపు తనిఖీగా నటిస్తూ ఒక కార్యాచరణను ప్రారంభిస్తుంది. ఈ నకిలీ ప్రామాణీకరణ స్క్రీన్ డెలివరీ నంబర్‌ను అభ్యర్థిస్తుంది, ఇది APKలో 742938128549గా హార్డ్-కోడ్ చేయబడింది మరియు ప్రారంభ ఫిషింగ్ దశలో బాధితులకు సరఫరా చేయబడే అవకాశం ఉంది.

మోసపూరిత ప్రామాణీకరణ మరియు నిశ్శబ్ద రాజీ

డెలివరీ నంబర్‌ను నమోదు చేసిన తర్వాత, యాప్ యాదృచ్ఛికంగా ఆరు అంకెల ధృవీకరణ కోడ్‌ను ఉత్పత్తి చేస్తుంది మరియు దానిని నోటిఫికేషన్‌గా ప్రదర్శిస్తుంది. అప్పుడు వినియోగదారు ఈ కోడ్‌ను ఇన్‌పుట్ చేయమని ప్రాంప్ట్ చేయబడతారు, ఇది చట్టబద్ధమైన భద్రతా ప్రక్రియ యొక్క భ్రమను బలోపేతం చేస్తుంది. పూర్తయిన తర్వాత, యాప్ నిజమైన CJ లాజిస్టిక్స్ ట్రాకింగ్ పేజీని సూచించే వెబ్‌వ్యూను తెరుస్తుంది, కార్యాచరణ ప్రామాణికమైనదిగా కనిపిస్తుంది.

ఇంతలో, హానికరమైన భాగం పోర్ట్ 50005 లోని 27.102.137.181 వద్ద దాడి చేసేవారి-నియంత్రిత కమాండ్-అండ్-కంట్రోల్ సర్వర్‌కు నిశ్శబ్దంగా కనెక్ట్ అవుతుంది. ఈ సమయం నుండి, కొత్తగా అమలు చేయబడిన DocSwap వేరియంట్ పూర్తి-ఫీచర్ చేసిన రిమోట్ యాక్సెస్ ట్రోజన్‌గా పనిచేస్తుంది.

రిమోట్ యాక్సెస్ సామర్థ్యాలు మరియు డేటా దొంగతనం

ఈ మాల్వేర్ దాని ఆపరేటర్ల నుండి డజన్ల కొద్దీ ఆదేశాలను స్వీకరించగలదు, సోకిన పరికరంపై విస్తృతమైన నిఘా మరియు నియంత్రణను అనుమతిస్తుంది. దీని కార్యాచరణలో వినియోగదారు ఇన్‌పుట్‌ను లాగ్ చేయడం, కమ్యూనికేషన్‌లను పర్యవేక్షించడం మరియు సున్నితమైన వ్యక్తిగత డేటాను సంగ్రహించడం, రాజీపడిన స్మార్ట్‌ఫోన్‌ను శక్తివంతమైన గూఢచర్య సాధనంగా మార్చడం వంటివి ఉన్నాయి.

ట్రోజనైజ్డ్ యాప్‌లు మరియు విస్తరించిన పంపిణీ

నకిలీ డెలివరీ యాప్‌తో పాటు, పరిశోధకులు P2B ఎయిర్‌డ్రాప్ అప్లికేషన్‌గా మారువేషంలో ఉన్న అదనపు హానికరమైన నమూనాలను మరియు చట్టబద్ధమైన VPN ఉత్పత్తి అయిన BYCOM VPN యొక్క రాజీపడిన వెర్షన్‌ను గుర్తించారు. నిజమైన VPN యాప్ Google Playలో అందుబాటులో ఉంది మరియు దీనిని భారతీయ కంపెనీ బైకామ్ సొల్యూషన్స్ అభివృద్ధి చేసింది. కిమ్సుకీ చట్టబద్ధమైన APKలోకి హానికరమైన కోడ్‌ను ఇంజెక్ట్ చేసి, ప్రచారంలో ఉపయోగించడానికి దానిని తిరిగి ప్యాక్ చేసిందని విశ్లేషణ సూచిస్తుంది.

ఫిషింగ్ మౌలిక సదుపాయాలు మరియు ఆధారాల సేకరణ

సహాయక మౌలిక సదుపాయాలపై దర్యాప్తులో నేవర్ మరియు కాకావో వంటి ప్రసిద్ధ దక్షిణ కొరియా ప్లాట్‌ఫామ్‌లను అనుకరించే ఫిషింగ్ వెబ్‌సైట్‌లు బయటపడ్డాయి. ఈ సైట్‌లు వినియోగదారు ఆధారాలను దొంగిలించడానికి మరియు నేవర్ వినియోగదారులను ప్రత్యేకంగా లక్ష్యంగా చేసుకున్న మునుపటి కిమ్సుకీ కార్యకలాపాలతో అతివ్యాప్తులను చూపించడానికి రూపొందించబడ్డాయి, ఇది స్థాపించబడిన మౌలిక సదుపాయాల పునర్వినియోగం మరియు విస్తరణను సూచిస్తుంది.

అభివృద్ధి చెందుతున్న మాల్వేర్ డిజైన్

అమలు చేయబడిన మాల్వేర్ ఇప్పటికీ మునుపటి కిమ్సుకీ సాధనాల మాదిరిగానే RAT సేవను ప్రారంభిస్తున్నప్పటికీ, ఇది గణనీయమైన పరిణామాన్ని ప్రదర్శిస్తుంది. ఎంబెడెడ్ APK కోసం కొత్త స్థానిక డిక్రిప్షన్ ఫంక్షన్‌ను ఉపయోగించడం మరియు బహుళ డెకోయ్ ప్రవర్తనలను చేర్చడం కొనసాగుతున్న అభివృద్ధిని మరియు ప్రభావాన్ని పెంచుతూ గుర్తింపును తప్పించుకునే ప్రయత్నాన్ని సూచిస్తుంది.