DocSwap 移动恶意软件
密切关注不断演变的移动威胁至关重要,因为与国家有关联的攻击者持续改进社交工程和恶意软件传播技术。近期一起据称由朝鲜组织 Kimsuky 发起的攻击活动凸显了攻击者如何将网络钓鱼、二维码和植入木马的安卓应用相结合,以入侵受害者的设备。
目录
Kimsuky 最新安卓广告活动曝光
安全研究人员已将 Kimsuky 与一项传播名为 DocSwap 的新型安卓恶意软件的行动联系起来。该行动利用钓鱼网站冒充总部位于首尔的知名物流公司 CJ Logistics(前身为 CJ Korea Express)。这些虚假页面设计得非常可信,旨在吸引那些期待收到货运相关通知的用户。
二维码和虚假警报作为感染媒介
攻击者大量使用二维码和欺骗性弹窗通知来诱骗用户安装恶意应用程序。当用户从桌面系统访问钓鱼页面时,页面会显示一个二维码,提示访问者使用安卓设备扫描该二维码。这种重定向技术会将受害者引导至安装看似是货物追踪或安全验证的应用程序。
为了进一步欺骗用户,钓鱼页面会运行一个跟踪性的 PHP 脚本,该脚本会检查浏览器的用户代理 (User-Agent)。根据这一检查结果,页面会向用户显示消息,敦促他们安装一个所谓的安全模块,声称这是为了遵守“国际海关安全政策”。这种说法旨在为安装请求找到合理性,并降低用户的怀疑。
绕过安卓安全警告
由于安卓系统限制安装来自未知来源的应用,并会显示醒目的警告,攻击者便谎称该应用是官方且安全的版本。这种社会工程学策略迫使受害者无视内置的安全保护措施,在收到警告后继续安装。
恶意APK分发和执行链
如果受害者同意,则会从 IP 地址为 27.102.137.181 的服务器下载名为 SecDelivery.apk 的 APK 文件。该软件包启动后,会解密其自身资源中嵌入的加密 APK 文件。在激活有效载荷之前,它会验证是否已获得管理外部存储、访问互联网以及安装其他软件包的权限。
权限确认后,恶意软件会注册一个名为 com.delivery.security.MainService 的服务,并立即启动一个伪装成基于一次性密码 (OTP) 的身份验证活动。这个虚假的身份验证屏幕会要求输入送货单号,该送货单号硬编码在 APK 文件中,为 742938128549,很可能是在初始钓鱼步骤中提供给受害者的。
欺骗性认证和静默入侵
输入运单号后,应用会生成一个随机的六位数验证码,并以通知的形式显示。随后,系统会提示用户输入此验证码,从而强化了验证过程合法性的假象。验证完成后,应用会打开一个指向CJ物流官方追踪页面的WebView,使整个过程看起来真实可信。
与此同时,恶意组件悄悄连接到攻击者控制的位于 27.102.137.181 端口 50005 的命令与控制服务器。从这一点开始,新部署的 DocSwap 变种就作为一个功能齐全的远程访问木马运行。
远程访问功能和数据盗窃
该恶意软件能够接收来自操作者的数十条指令,从而对受感染的设备进行广泛的监视和控制。其功能包括记录用户输入、监控通信以及提取敏感的个人数据,将受感染的智能手机变成强大的间谍工具。
木马化应用和扩展分发
除了虚假的配送应用外,研究人员还发现了其他伪装成 P2B AirDrop 应用的恶意样本,以及一款名为 BYCOM VPN 的合法 VPN 产品被篡改的版本。这款正版 VPN 应用可在 Google Play 下载,由印度公司 Bycom Solutions 开发。分析表明,Kimsuky 将恶意代码注入到合法的 APK 文件中,并重新打包后用于此次攻击活动。
网络钓鱼基础设施和凭证窃取
对相关基础设施的调查显示,存在模仿韩国热门平台(如Naver和Kakao)的钓鱼网站。这些网站旨在窃取用户凭证,并且与此前专门针对Naver用户的Kimsuky行动存在重叠,表明其对现有基础设施进行了重复利用和扩展。
不断演变的恶意软件设计
虽然部署的恶意软件仍然会启动类似于之前 Kimsuky 工具的远程访问木马 (RAT) 服务,但它展现出了显著的演变。嵌入式 APK 使用了新的原生解密函数,并加入了多种诱饵行为,这表明该恶意软件仍在持续开发,并致力于在提高有效性的同时规避检测。
