มัลแวร์ DocSwap Mobile

การเฝ้าระวังภัยคุกคามทางมือถือที่เปลี่ยนแปลงอยู่ตลอดเวลาเป็นสิ่งสำคัญ เนื่องจากกลุ่มผู้ก่อการร้ายที่เชื่อมโยงกับรัฐบาลยังคงพัฒนาเทคนิคการหลอกลวงทางสังคมและการส่งมัลแวร์อย่างต่อเนื่อง แคมเปญล่าสุดที่เชื่อว่าเป็นฝีมือของกลุ่ม Kimsuky จากเกาหลีเหนือ แสดงให้เห็นว่าผู้โจมตีผสมผสานการหลอกลวงแบบฟิชชิ่ง รหัส QR และแอป Android ที่ติดมัลแวร์เพื่อเจาะระบบอุปกรณ์ของเหยื่อ

แคมเปญ Android ล่าสุดของ Kimsuky ถูกเปิดเผยแล้ว

นักวิจัยด้านความปลอดภัยได้เชื่อมโยง Kimsuky กับปฏิบัติการใหม่ที่เผยแพร่ไวรัส Android สายพันธุ์ใหม่ที่รู้จักกันในชื่อ DocSwap แคมเปญนี้ใช้เว็บไซต์ฟิชชิ่งปลอมแปลงเป็นบริษัทโลจิสติกส์ชื่อดังในกรุงโซลอย่าง CJ Logistics ซึ่งเดิมชื่อ CJ Korea Express หน้าเว็บปลอมเหล่านี้ถูกออกแบบมาให้ดูน่าเชื่อถือและมุ่งเป้าไปที่ผู้ใช้ที่คาดหวังการแจ้งเตือนเกี่ยวกับการจัดส่งสินค้า

รหัส QR และการแจ้งเตือนปลอมเป็นพาหะนำเชื้อโรค

ผู้โจมตีอาศัยรหัส QR และป๊อปอัปแจ้งเตือนหลอกลวงเป็นอย่างมากเพื่อล่อลวงผู้ใช้ให้ติดตั้งแอปพลิเคชันที่เป็นอันตราย เมื่อเข้าถึงจากระบบเดสก์ท็อป หน้าเว็บฟิชชิ่งจะแสดงรหัส QR ที่แจ้งให้ผู้เข้าชมสแกนด้วยอุปกรณ์ Android เทคนิคการเปลี่ยนเส้นทางนี้จะผลักดันให้เหยื่อติดตั้งแอปที่แสดงว่าใช้สำหรับติดตามการจัดส่งหรือตรวจสอบความปลอดภัย

เพื่อเสริมกลอุบายหลอกลวง หน้าเว็บฟิชชิ่งจะรันสคริปต์ PHP ที่ติดตามและตรวจสอบ User-Agent ของเบราว์เซอร์ จากการตรวจสอบนี้ ผู้ใช้จะเห็นข้อความที่กระตุ้นให้ติดตั้งโมดูลรักษาความปลอดภัยที่เรียกว่า "โมดูลความปลอดภัย" ซึ่งอ้างว่าจำเป็นเพื่อให้เป็นไปตาม "นโยบายความปลอดภัยของศุลกากรระหว่างประเทศ" เนื้อหาดังกล่าวมีจุดประสงค์เพื่อสร้างความชอบธรรมให้กับการขอให้ติดตั้งและลดความสงสัยลง

การข้ามคำเตือนด้านความปลอดภัยของ Android

เนื่องจาก Android จำกัดการติดตั้งจากแหล่งที่ไม่รู้จักและแสดงคำเตือนอย่างชัดเจน ผู้โจมตีจึงแอบอ้างอย่างผิดๆ ว่าแอปนั้นเป็นเวอร์ชันทางการและปลอดภัย กลยุทธ์การหลอกลวงทางสังคมนี้กดดันเหยื่อให้เพิกเฉยต่อระบบป้องกันในตัวและดำเนินการติดตั้งต่อไปแม้จะมีคำเตือนก็ตาม

ห่วงโซ่การส่งและการเรียกใช้ไฟล์ APK ที่เป็นอันตราย

หากเหยื่อยินยอม ไฟล์ APK ที่ชื่อ SecDelivery.apk จะถูกดาวน์โหลดจากเซิร์ฟเวอร์ที่ 27.102.137.181 เมื่อเปิดใช้งานแล้ว แพ็กเกจนี้จะถอดรหัส APK ที่เข้ารหัสซึ่งฝังอยู่ภายในทรัพยากรของตัวเอง ก่อนที่จะเปิดใช้งานเพย์โหลด มันจะตรวจสอบว่าได้รับอนุญาตในการจัดการพื้นที่จัดเก็บข้อมูลภายนอก เข้าถึงอินเทอร์เน็ต และติดตั้งแพ็กเกจเพิ่มเติมแล้วหรือไม่

หลังจากยืนยันสิทธิ์แล้ว มัลแวร์จะลงทะเบียนบริการที่ระบุว่าเป็น com.delivery.security.MainService และเริ่มกิจกรรมที่ปลอมตัวเป็นการตรวจสอบตัวตนด้วย OTP ทันที หน้าจอการตรวจสอบสิทธิ์ปลอมนี้จะขอหมายเลขการจัดส่ง ซึ่งถูกกำหนดไว้ในไฟล์ APK เป็น 742938128549 และน่าจะถูกส่งให้กับเหยื่อในขั้นตอนการหลอกลวงแบบฟิชชิ่งขั้นต้น

การตรวจสอบสิทธิ์ที่หลอกลวงและการโจมตีโดยไม่เปิดเผยตัวตน

เมื่อป้อนหมายเลขการจัดส่ง แอปจะสร้างรหัสยืนยันหกหลักแบบสุ่มและแสดงเป็นข้อความแจ้งเตือน จากนั้นผู้ใช้จะได้รับแจ้งให้ป้อนรหัสนี้ ซึ่งเป็นการสร้างภาพลวงตาของกระบวนการรักษาความปลอดภัยที่ถูกต้อง เมื่อเสร็จสิ้น แอปจะเปิด WebView ที่ชี้ไปยังหน้าติดตามการจัดส่งของ CJ Logistics อย่างเป็นทางการ ทำให้กิจกรรมดูเหมือนจริง

ในขณะเดียวกัน ส่วนประกอบที่เป็นอันตรายจะเชื่อมต่ออย่างเงียบๆ กับเซิร์ฟเวอร์ควบคุมสั่งการที่ผู้โจมตีควบคุมอยู่ที่ 27.102.137.181 บนพอร์ต 50005 จากจุดนี้ มัลแวร์ DocSwap เวอร์ชันใหม่ที่ติดตั้งจะทำงานเป็นโทรจันเข้าถึงระยะไกลที่มีฟังก์ชันการทำงานครบถ้วน

ความสามารถในการเข้าถึงระยะไกลและการโจรกรรมข้อมูล

มัลแวร์นี้สามารถรับคำสั่งได้หลายสิบคำสั่งจากผู้ควบคุม ทำให้สามารถสอดแนมและควบคุมอุปกรณ์ที่ติดไวรัสได้อย่างครอบคลุม ฟังก์ชันการทำงานของมันรวมถึงความสามารถในการบันทึกข้อมูลที่ผู้ใช้ป้อน ตรวจสอบการสื่อสาร และดึงข้อมูลส่วนบุคคลที่ละเอียดอ่อน ทำให้สมาร์ทโฟนที่ถูกโจมตีกลายเป็นเครื่องมือสอดแนมที่มีประสิทธิภาพ

แอปที่แฝงด้วยมัลแวร์และการเผยแพร่ในวงกว้าง

นอกเหนือจากแอปส่งของปลอมแล้ว นักวิจัยยังพบตัวอย่างมัลแวร์เพิ่มเติมที่ปลอมตัวเป็นแอปพลิเคชัน P2B Airdrop และเวอร์ชันที่ถูกดัดแปลงของผลิตภัณฑ์ VPN ที่ถูกต้องตามกฎหมายอย่าง BYCOM VPN แอป VPN ของแท้นั้นมีให้ดาวน์โหลดบน Google Play และพัฒนาโดยบริษัท Bycom Solutions จากประเทศอินเดีย การวิเคราะห์ชี้ให้เห็นว่า Kimsuky ได้แทรกโค้ดที่เป็นอันตรายเข้าไปในไฟล์ APK ที่ถูกต้องตามกฎหมายและนำมาบรรจุใหม่เพื่อใช้ในแคมเปญนี้

โครงสร้างพื้นฐานการฟิชชิ่งและการเก็บรวบรวมข้อมูลประจำตัว

จากการตรวจสอบโครงสร้างพื้นฐานที่สนับสนุนการโจมตี พบเว็บไซต์ฟิชชิ่งที่เลียนแบบแพลตฟอร์มยอดนิยมของเกาหลีใต้ เช่น Naver และ Kakao เว็บไซต์เหล่านี้ออกแบบมาเพื่อขโมยข้อมูลประจำตัวของผู้ใช้ และมีความคล้ายคลึงกับปฏิบัติการของ Kimsuky ในช่วงแรกๆ ที่มุ่งเป้าไปที่ผู้ใช้ Naver โดยเฉพาะ ซึ่งบ่งชี้ว่ามีการนำโครงสร้างพื้นฐานที่มีอยู่มาใช้ซ้ำและขยายขอบเขตการใช้งาน

การออกแบบมัลแวร์ที่พัฒนาไปเรื่อยๆ

แม้ว่ามัลแวร์ที่ถูกติดตั้งจะยังคงเรียกใช้บริการ RAT คล้ายกับเครื่องมือ Kimsuky รุ่นก่อนๆ แต่ก็แสดงให้เห็นถึงวิวัฒนาการที่น่าสนใจ การใช้ฟังก์ชันถอดรหัสแบบเนทีฟใหม่สำหรับ APK ที่ฝังอยู่ และการรวมพฤติกรรมล่อลวงหลายอย่าง บ่งชี้ถึงการพัฒนาอย่างต่อเนื่องและความพยายามที่จะหลีกเลี่ยงการตรวจจับในขณะที่เพิ่มประสิทธิภาพ