Шкідливе програмне забезпечення для мобільних пристроїв DocSwap
Пильність до нових мобільних загроз є надзвичайно важливою, оскільки пов'язані з державою суб'єкти продовжують удосконалювати методи соціальної інженерії та доставки шкідливого програмного забезпечення. Нещодавня кампанія, яку приписують північнокорейській групі Kimsuky, показує, як зловмисники поєднують фішинг, QR-коди та троянські додатки для Android, щоб скомпрометувати пристрої жертв.
Зміст
Розкрито останню кампанію Кімсукі для Android
Дослідники з безпеки пов’язали Kimsuky з новою операцією, що розповсюджує новий варіант шкідливого програмного забезпечення для Android, відомий як DocSwap. Кампанія використовує фішингові веб-сайти, що видають себе за відому сеульську логістичну компанію CJ Logistics, яка раніше називалася CJ Korea Express. Ці фальшиві сторінки створені так, щоб виглядати надійними, і орієнтовані на користувачів, які очікують сповіщень, пов’язаних з відправкою.
QR-коди та фейкові сповіщення як вектори зараження
Зловмисники значною мірою покладаються на QR-коди та спливаючі вікна зі сповіщеннями, щоб спонукати користувачів встановлювати шкідливі програми. Під час доступу з настільного комп’ютера фішингова сторінка відображає QR-код, який пропонує відвідувачу відсканувати його за допомогою пристрою Android. Цей метод перенаправлення підштовхує жертву до встановлення програми, яка представляється як програма для відстеження відправлень або перевірки безпеки.
Для посилення обману фішингова сторінка запускає PHP-скрипт відстеження, який перевіряє User-Agent браузера. На основі цієї перевірки користувачам показуються повідомлення із закликом встановити так званий модуль безпеки, нібито необхідний для дотримання «міжнародної політики митної безпеки». Цей наратив має на меті виправдати запит на встановлення та зменшити підозри.
Обхід попереджень безпеки Android
Оскільки Android обмежує встановлення з невідомих джерел та відображає чіткі попередження, зловмисники хибно стверджують, що додаток є офіційним та безпечним релізом. Ця тактика соціальної інженерії змушує жертв ігнорувати вбудовані засоби захисту та продовжувати встановлення, незважаючи на попередження.
Ланцюг доставки та виконання шкідливого APK
Якщо жертва погоджується, APK-файл під назвою SecDelivery.apk завантажується з сервера за адресою 27.102.137.181. Після запуску цей пакет розшифровує зашифрований APK, вбудований у власні ресурси. Перед активацією корисного навантаження він перевіряє, чи отримав дозволи на керування зовнішнім сховищем, доступ до Інтернету та встановлення додаткових пакетів.
Після підтвердження дозволів шкідливе програмне забезпечення реєструє сервіс, ідентифікований як com.delivery.security.MainService, та негайно запускає дію, видаючи себе за перевірку особи на основі OTP. Цей фальшивий екран автентифікації запитує номер доставки, який жорстко закодований в APK як 742938128549 та, ймовірно, надається жертвам на початковому етапі фішингу.
Оманлива автентифікація та тиха компрометація
Після введення номера доставки додаток генерує випадковий шестизначний код підтвердження та відображає його як сповіщення. Потім користувачеві пропонується ввести цей код, що підсилює ілюзію легітимного процесу безпеки. Після завершення додаток відкриває WebView, що вказує на справжню сторінку відстеження CJ Logistics, що робить дію автентичною.
Тим часом шкідливий компонент непомітно підключається до контрольованого зловмисником сервера командного контролю за адресою 27.102.137.181 через порт 50005. З цього моменту нещодавно розгорнутий варіант DocSwap працює як повнофункціональний троян віддаленого доступу.
Можливості віддаленого доступу та крадіжка даних
Шкідливе програмне забезпечення здатне отримувати десятки команд від своїх операторів, що дозволяє здійснювати розширений стеження та контроль над зараженим пристроєм. Його функціональність включає можливість реєструвати введені користувачем дані, моніторити зв'язок та витягувати конфіденційні персональні дані, перетворюючи скомпрометований смартфон на потужний інструмент шпигунства.
Троянські програми та розширене розповсюдження
Окрім підробленого застосунку для доставки, дослідники виявили додаткові шкідливі зразки, замасковані під застосунок P2B Airdrop, та скомпрометовану версію легітимного VPN-продукту BYCOM VPN. Справжній VPN-застосунок доступний у Google Play та розроблений індійською компанією Bycom Solutions. Аналіз показує, що Kimsuky впровадив шкідливий код у легітимний APK-файл та перепакував його для використання в кампанії.
Фішингова інфраструктура та збір облікових даних
Розслідування допоміжної інфраструктури виявило фішингові веб-сайти, що імітують популярні південнокорейські платформи, такі як Naver та Kakao. Ці сайти розроблені для крадіжки облікових даних користувачів та демонструють перекриття з попередніми операціями Kimsuky, які були спеціально спрямовані на користувачів Naver, що свідчить про повторне використання та розширення встановленої інфраструктури.
Еволюція дизайну шкідливого програмного забезпечення
Хоча розгорнуте шкідливе програмне забезпечення все ще запускає службу RAT, подібну до попередніх інструментів Kimsuky, воно демонструє помітну еволюцію. Використання нової вбудованої функції розшифрування для вбудованого APK та включення кількох приманок свідчать про постійний розвиток та зусилля щодо уникнення виявлення, одночасно підвищуючи ефективність.
