DocSwap Mobil Kötü Amaçlı Yazılımı
Devlet bağlantılı aktörlerin sosyal mühendislik ve kötü amaçlı yazılım dağıtım tekniklerini sürekli olarak geliştirmesi nedeniyle, gelişen mobil tehditlere karşı tetikte olmak çok önemlidir. Kuzey Koreli Kimsuky grubuna atfedilen son bir kampanya, saldırganların kurbanların cihazlarını ele geçirmek için kimlik avı, QR kodları ve truva atı bulaştırılmış Android uygulamalarını nasıl birleştirdiğini ortaya koymaktadır.
İçindekiler
Kimsuky’nin Son Android Kampanyası Ortaya Çıktı
Güvenlik araştırmacıları, Kimsuky'yi DocSwap olarak bilinen yeni bir Android kötü amaçlı yazılım varyantını dağıtan yeni bir operasyonla ilişkilendirdi. Kampanya, daha önce CJ Korea Express olarak bilinen, Seul merkezli tanınmış lojistik şirketi CJ Logistics'i taklit eden kimlik avı web sitelerini kötüye kullanıyor. Bu sahte sayfalar, güvenilir görünmek ve gönderiyle ilgili bildirimler bekleyen kullanıcıları hedeflemek üzere tasarlanmıştır.
QR Kodları ve Sahte Uyarılar Enfeksiyon Vektörleri Olarak
Saldırganlar, kullanıcıları kötü amaçlı uygulamaları yüklemeye teşvik etmek için büyük ölçüde QR kodlarına ve yanıltıcı bildirim açılır pencerelerine güveniyor. Masaüstü sistemden erişildiğinde, kimlik avı sayfası ziyaretçiyi bir Android cihazla taramaya yönlendiren bir QR kodu görüntüler. Bu yönlendirme tekniği, kurbanı gönderi takibi veya güvenlik doğrulama uygulaması olarak sunulan bir uygulamayı yüklemeye iter.
Aldatmacayı daha da ileri götürmek için, kimlik avı sayfası, tarayıcının Kullanıcı Aracısını (User-Agent) inceleyen bir izleme PHP komut dosyası çalıştırır. Bu incelemeye dayanarak, kullanıcılara sözde 'uluslararası gümrük güvenlik politikalarına' uymak için gerekli olduğu iddia edilen bir güvenlik modülü yüklemeleri yönünde mesajlar gösterilir. Bu anlatım, yükleme isteğini haklı çıkarmayı ve şüpheyi azaltmayı amaçlamaktadır.
Android Güvenlik Uyarılarını Atlatma
Android bilinmeyen kaynaklardan gelen yüklemeleri kısıtladığı ve belirgin uyarılar gösterdiği için, kötü amaçlı yazılımlar uygulamanın resmi ve güvenli bir sürüm olduğunu yanlış bir şekilde iddia ediyor. Bu sosyal mühendislik taktiği, kurbanları yerleşik korumaları görmezden gelmeye ve uyarılara rağmen yüklemeye devam etmeye zorluyor.
Kötü Amaçlı APK Dağıtımı ve Yürütme Zinciri
Eğer mağdur kabul ederse, 27.102.137.181 adresindeki sunucudan SecDelivery.apk adlı bir APK dosyası indirilir. Çalıştırıldıktan sonra, bu paket kendi kaynaklarına gömülü şifrelenmiş bir APK dosyasının şifresini çözer. Yükü etkinleştirmeden önce, harici depolama alanını yönetme, internete erişme ve ek paketler yükleme izinlerini aldığını doğrular.
İzinler onaylandıktan sonra, kötü amaçlı yazılım com.delivery.security.MainService olarak tanımlanan bir hizmeti kaydeder ve hemen OTP tabanlı bir kimlik doğrulama gibi görünen bir etkinlik başlatır. Bu sahte kimlik doğrulama ekranı, APK'ya 742938128549 olarak sabit kodlanmış ve muhtemelen kurbanlara ilk kimlik avı aşamasında verilen bir teslimat numarası ister.
Aldatıcı Kimlik Doğrulama ve Sessiz Güvenlik İhlali
Teslimat numarasını girdikten sonra, uygulama rastgele altı haneli bir doğrulama kodu oluşturur ve bunu bir bildirim olarak görüntüler. Ardından kullanıcıdan bu kodu girmesi istenir, bu da meşru bir güvenlik sürecinin izlenimini güçlendirir. İşlem tamamlandıktan sonra, uygulama gerçek CJ Logistics takip sayfasına yönlendiren bir WebView açar ve böylece işlem gerçekmiş gibi görünür.
Bu sırada, kötü amaçlı bileşen sessizce 27.102.137.181 adresindeki 50005 numaralı port üzerinden saldırgan tarafından kontrol edilen bir komuta ve kontrol sunucusuna bağlanır. Bu noktadan itibaren, yeni devreye alınan DocSwap varyantı, tam özellikli bir uzaktan erişim truva atı olarak çalışır.
Uzaktan Erişim Yetenekleri ve Veri Hırsızlığı
Bu kötü amaçlı yazılım, operatörlerinden düzinelerce komut alabilme özelliğine sahip olup, bulaşmış cihaz üzerinde kapsamlı gözetim ve kontrol imkanı sağlar. İşlevleri arasında kullanıcı girdilerini kaydetme, iletişimleri izleme ve hassas kişisel verileri çıkarma yeteneği yer alır; bu da ele geçirilen akıllı telefonu güçlü bir casusluk aracına dönüştürür.
Truva Atı Bulaştırılmış Uygulamalar ve Genişletilmiş Dağıtım
Sahte teslimat uygulamasının ötesinde, araştırmacılar P2B Airdrop uygulaması ve meşru bir VPN ürünü olan BYCOM VPN'in ele geçirilmiş bir sürümü gibi görünen ek kötü amaçlı örnekler tespit etti. Orijinal VPN uygulaması Google Play'de mevcuttur ve Hint şirketi Bycom Solutions tarafından geliştirilmiştir. Analizler, Kimsuky'nin meşru APK'ya kötü amaçlı kod enjekte ettiğini ve kampanyada kullanılmak üzere yeniden paketlediğini göstermektedir.
Kimlik Avı Altyapısı ve Kimlik Bilgisi Toplama
Destekleyici altyapıya yönelik soruşturma, Naver ve Kakao gibi popüler Güney Kore platformlarını taklit eden kimlik avı web sitelerini ortaya çıkardı. Bu siteler, kullanıcı kimlik bilgilerini çalmak üzere tasarlanmış olup, özellikle Naver kullanıcılarını hedef alan önceki Kimsuky operasyonlarıyla örtüşme göstermekte ve mevcut altyapının yeniden kullanımını ve genişletilmesini düşündürmektedir.
Kötü Amaçlı Yazılım Tasarımının Gelişimi
Dağıtılan kötü amaçlı yazılım, önceki Kimsuky araçlarına benzer bir RAT hizmeti başlatıyor olsa da, kayda değer bir evrim gösteriyor. Gömülü APK için yeni bir yerel şifre çözme fonksiyonunun kullanılması ve birden fazla yanıltıcı davranışın dahil edilmesi, devam eden geliştirmeyi ve etkinliği artırırken tespit edilmekten kaçınma çabasını gösteriyor.
