Malware sa Mobile na DocSwap
Mahalagang manatiling alerto sa mga umuusbong na banta sa mobile, habang patuloy na pinagbubuti ng mga aktor na nauugnay sa estado ang mga pamamaraan ng social engineering at paghahatid ng malware. Itinatampok ng isang kamakailang kampanya na iniuugnay sa grupong North Korean na Kimsuky kung paano pinagsasama-sama ng mga umaatake ang phishing, QR code, at mga trojanized na Android app upang makompromiso ang mga device ng mga biktima.
Talaan ng mga Nilalaman
Natuklasan ang Pinakabagong Kampanya sa Android ni Kimsuky
Iniugnay ng mga mananaliksik sa seguridad ang Kimsuky sa isang bagong operasyon na namamahagi ng isang bagong variant ng malware sa Android na kilala bilang DocSwap. Inaabuso ng kampanya ang mga phishing website na nagpapanggap na kilalang kumpanya ng logistik na nakabase sa Seoul na CJ Logistics, na dating tinatawag na CJ Korea Express. Ang mga pekeng pahinang ito ay idinisenyo upang magmukhang mapagkakatiwalaan at tinatarget ang mga user na umaasa sa mga notification na may kaugnayan sa kargamento.
Mga QR Code at Pekeng Alerto bilang mga Salik ng Impeksyon
Ang mga umaatake ay lubos na umaasa sa mga QR code at mapanlinlang na notification pop-up upang hikayatin ang mga gumagamit na mag-install ng mga malisyosong application. Kapag na-access mula sa isang desktop system, ang phishing page ay nagpapakita ng isang QR code na nag-uudyok sa bisita na i-scan ito gamit ang isang Android device. Ang pamamaraan ng pag-redirect na ito ay nagtutulak sa biktima na mag-install ng ipinapakita bilang isang shipment tracking o security verification app.
Para lalong mapalawak ang panlilinlang, ang phishing page ay nagpapatakbo ng isang tracking PHP script na sumisiyasat sa User-Agent ng browser. Batay sa pagsusuring ito, ang mga user ay ipinapakitahan ng mga mensahe na humihimok sa kanila na mag-install ng tinatawag na security module, na diumano'y kinakailangan upang sumunod sa 'mga patakaran sa seguridad ng mga internasyonal na customs.' Ang salaysay na ito ay nilayon upang bigyang-katwiran ang kahilingan sa pag-install at mabawasan ang hinala.
Paglampas sa mga Babala sa Seguridad ng Android
Dahil nililimitahan ng Android ang mga pag-install mula sa mga hindi kilalang pinagmulan at nagpapakita ng mga kitang-kitang babala, maling sinasabi ng mga aktor ng banta na ang app ay isang opisyal at ligtas na bersyon. Pinipilit ng taktikang social engineering na ito ang mga biktima na balewalain ang mga built-in na proteksyon at magpatuloy sa pag-install sa kabila ng mga alerto.
Nakakahamak na Chain ng Paghahatid at Pagpapatupad ng APK
Kung sasang-ayon ang biktima, isang APK na pinangalanang SecDelivery.apk ang ida-download mula sa server sa 27.102.137.181. Kapag nailunsad na, ide-decrypt ng package na ito ang isang naka-encrypt na APK na naka-embed sa sarili nitong mga resources. Bago i-activate ang payload, bine-verify nito na nakakuha na ito ng mga pahintulot upang pamahalaan ang external storage, mag-access sa internet, at mag-install ng mga karagdagang package.
Matapos makumpirma ang mga pahintulot, irerehistro ng malware ang isang serbisyong kinilala bilang com.delivery.security.MainService at agad na maglulunsad ng isang aktibidad na nagpapanggap na isang OTP-based identity check. Ang pekeng authentication screen na ito ay humihingi ng delivery number, na naka-hard-code sa APK bilang 742938128549 at malamang na ibinibigay sa mga biktima sa unang hakbang ng phishing.
Mapanlinlang na Pagpapatotoo at Tahimik na Kompromiso
Sa pagpasok ng delivery number, bubuo ang app ng random na anim na digit na verification code at ipapakita ito bilang isang notification. Pagkatapos ay hihilingin sa user na ilagay ang code na ito, na nagpapatibay sa ilusyon ng isang lehitimong proseso ng seguridad. Kapag nakumpleto na, magbubukas ang app ng isang WebView na tumuturo sa tunay na CJ Logistics tracking page, na magmumukhang tunay ang aktibidad.
Samantala, ang malisyosong bahagi ay tahimik na kumokonekta sa isang command-and-control server na kontrolado ng attacker sa 27.102.137.181 sa port 50005. Mula sa puntong ito, ang bagong deploy na variant ng DocSwap ay gumagana bilang isang kumpletong tampok na remote access trojan.
Mga Kakayahan sa Remote Access at Pagnanakaw ng Data
Ang malware ay may kakayahang tumanggap ng dose-dosenang mga utos mula sa mga operator nito, na nagbibigay-daan sa malawakang pagsubaybay at kontrol sa nahawaang device. Kabilang sa mga functionality nito ang kakayahang mag-log ng input ng user, subaybayan ang mga komunikasyon, at kunin ang sensitibong personal na data, na ginagawang isang makapangyarihang tool sa paniniktik ang nakompromisong smartphone.
Mga App na Na-Trojanize at Pinalawak na Pamamahagi
Bukod sa pekeng delivery app, nakatukoy ang mga mananaliksik ng karagdagang mga malisyosong sample na nagkukunwaring isang P2B Airdrop application at isang nakompromisong bersyon ng isang lehitimong produkto ng VPN, ang BYCOM VPN. Ang tunay na VPN app ay makukuha sa Google Play at binuo ng kumpanyang Indian na Bycom Solutions. Ipinapahiwatig ng pagsusuri na nagpasok si Kimsuky ng malisyosong code sa lehitimong APK at muling ibinalot ito para magamit sa kampanya.
Imprastraktura ng Phishing at Pag-aani ng Kredensyal
Ang imbestigasyon sa sumusuportang imprastraktura ay nagsiwalat ng mga phishing website na ginagaya ang mga sikat na platform ng Timog Korea tulad ng Naver at Kakao. Ang mga site na ito ay idinisenyo upang nakawin ang mga kredensyal ng gumagamit at magpakita ng mga overlap sa mga naunang operasyon ng Kimsuky na partikular na tumatarget sa mga gumagamit ng Naver, na nagmumungkahi ng muling paggamit at pagpapalawak ng itinatag na imprastraktura.
Nagbabagong Disenyo ng Malware
Bagama't naglulunsad pa rin ang naka-deploy na malware ng serbisyong RAT na katulad ng mga nakaraang tool na Kimsuky, nagpapakita ito ng kapansin-pansing ebolusyon. Ang paggamit ng isang bagong native decryption function para sa naka-embed na APK at ang pagsasama ng maraming decoy behaviors ay nagpapahiwatig ng patuloy na pag-unlad at isang pagsisikap na maiwasan ang pagtuklas habang pinapataas ang bisa.
