Phần mềm độc hại DocSwap Mobile

Việc luôn cảnh giác với các mối đe dọa di động ngày càng tinh vi là điều cần thiết, khi các tác nhân liên kết với nhà nước tiếp tục hoàn thiện các kỹ thuật tấn công phi kỹ thuật và phát tán phần mềm độc hại. Một chiến dịch gần đây được cho là do nhóm Kimsuky của Triều Tiên thực hiện cho thấy cách thức tin tặc kết hợp lừa đảo, mã QR và ứng dụng Android bị nhiễm mã độc để xâm nhập thiết bị của nạn nhân.

Chiến dịch quảng cáo Android mới nhất của Kimsuky vừa được hé lộ.

Các nhà nghiên cứu bảo mật đã liên kết Kimsuky với một chiến dịch mới phát tán một biến thể phần mềm độc hại Android mới có tên là DocSwap. Chiến dịch này lợi dụng các trang web lừa đảo giả mạo công ty logistics nổi tiếng có trụ sở tại Seoul là CJ Logistics, trước đây gọi là CJ Korea Express. Những trang web giả mạo này được thiết kế để trông đáng tin cậy và nhắm mục tiêu vào người dùng đang mong đợi các thông báo liên quan đến vận chuyển hàng hóa.

Mã QR và cảnh báo giả mạo là các tác nhân lây nhiễm.

Kẻ tấn công dựa rất nhiều vào mã QR và các thông báo bật lên gây hiểu nhầm để dụ dỗ người dùng cài đặt các ứng dụng độc hại. Khi truy cập từ máy tính để bàn, trang web lừa đảo sẽ hiển thị mã QR yêu cầu người dùng quét mã đó bằng thiết bị Android. Kỹ thuật chuyển hướng này dẫn nạn nhân đến việc cài đặt ứng dụng được giới thiệu là ứng dụng theo dõi vận chuyển hoặc xác minh bảo mật.

Để tăng thêm tính lừa đảo, trang web giả mạo chạy một đoạn mã PHP theo dõi, kiểm tra User-Agent của trình duyệt. Dựa trên kết quả kiểm tra này, người dùng sẽ thấy các thông báo yêu cầu họ cài đặt một mô-đun bảo mật, được cho là cần thiết để tuân thủ "các chính sách an ninh hải quan quốc tế". Câu chuyện này nhằm mục đích biện minh cho yêu cầu cài đặt và giảm bớt sự nghi ngờ.

Vượt qua cảnh báo bảo mật của Android

Do Android hạn chế cài đặt từ các nguồn không xác định và hiển thị cảnh báo nổi bật, tin tặc thường tuyên bố sai sự thật rằng ứng dụng này là bản phát hành chính thức và an toàn. Chiêu trò kỹ thuật xã hội này gây áp lực buộc nạn nhân bỏ qua các biện pháp bảo vệ tích hợp và tiếp tục cài đặt bất chấp cảnh báo.

Chuỗi phân phối và thực thi APK độc hại

Nếu nạn nhân đồng ý, một tệp APK có tên SecDelivery.apk sẽ được tải xuống từ máy chủ tại địa chỉ 27.102.137.181. Sau khi khởi chạy, gói phần mềm này sẽ giải mã một tệp APK được mã hóa được nhúng trong tài nguyên của chính nó. Trước khi kích hoạt phần mềm độc hại, nó sẽ xác minh rằng mình đã có quyền quản lý bộ nhớ ngoài, truy cập internet và cài đặt các gói bổ sung.

Sau khi xác nhận quyền truy cập, phần mềm độc hại đăng ký một dịch vụ có tên là com.delivery.security.MainService và ngay lập tức khởi chạy một hoạt động giả mạo xác minh danh tính dựa trên mã OTP. Màn hình xác thực giả mạo này yêu cầu số đơn hàng, được mã hóa cứng trong tệp APK là 742938128549 và có khả năng được cung cấp cho nạn nhân trong bước lừa đảo ban đầu.

Xác thực gian dối và xâm phạm ngầm

Sau khi nhập số vận đơn, ứng dụng sẽ tạo ra một mã xác minh ngẫu nhiên gồm sáu chữ số và hiển thị mã này dưới dạng thông báo. Người dùng sau đó được yêu cầu nhập mã này, củng cố thêm ảo tưởng về một quy trình bảo mật hợp pháp. Sau khi hoàn tất, ứng dụng sẽ mở một cửa sổ WebView dẫn đến trang theo dõi đơn hàng chính thức của CJ Logistics, khiến hoạt động này trông có vẻ xác thực.

Trong khi đó, thành phần độc hại âm thầm kết nối với máy chủ điều khiển do kẻ tấn công kiểm soát tại địa chỉ 27.102.137.181 trên cổng 50005. Từ thời điểm này, biến thể DocSwap mới được triển khai hoạt động như một phần mềm độc hại truy cập từ xa đầy đủ chức năng.

Khả năng truy cập từ xa và trộm cắp dữ liệu

Phần mềm độc hại này có khả năng nhận hàng chục lệnh từ người điều khiển, cho phép giám sát và kiểm soát rộng rãi thiết bị bị nhiễm. Chức năng của nó bao gồm khả năng ghi lại thông tin người dùng nhập vào, theo dõi liên lạc và trích xuất dữ liệu cá nhân nhạy cảm, biến điện thoại thông minh bị xâm nhập thành một công cụ gián điệp mạnh mẽ.

Ứng dụng bị nhiễm Trojan và sự phân phối mở rộng

Ngoài ứng dụng giao hàng giả mạo, các nhà nghiên cứu đã xác định thêm các mẫu phần mềm độc hại khác giả mạo ứng dụng P2B Airdrop và phiên bản bị xâm nhập của sản phẩm VPN hợp pháp, BYCOM VPN. Ứng dụng VPN chính hãng có sẵn trên Google Play và được phát triển bởi công ty Bycom Solutions của Ấn Độ. Phân tích cho thấy Kimsuky đã chèn mã độc vào tệp APK hợp pháp và đóng gói lại để sử dụng trong chiến dịch này.

Hạ tầng tấn công lừa đảo và thu thập thông tin đăng nhập

Điều tra về cơ sở hạ tầng hỗ trợ đã phát hiện các trang web lừa đảo giả mạo các nền tảng phổ biến của Hàn Quốc như Naver và Kakao. Các trang web này được thiết kế để đánh cắp thông tin đăng nhập của người dùng và cho thấy sự trùng lặp với các hoạt động Kimsuky trước đây nhắm mục tiêu cụ thể vào người dùng Naver, cho thấy việc tái sử dụng và mở rộng cơ sở hạ tầng đã có sẵn.

Thiết kế phần mềm độc hại đang phát triển

Mặc dù phần mềm độc hại được triển khai vẫn khởi chạy dịch vụ RAT tương tự như các công cụ Kimsuky trước đây, nhưng nó cho thấy sự tiến hóa đáng kể. Việc sử dụng chức năng giải mã gốc mới cho APK được nhúng và việc tích hợp nhiều hành vi đánh lạc hướng cho thấy sự phát triển liên tục và nỗ lực nhằm né tránh bị phát hiện trong khi vẫn tăng hiệu quả.