DocSwap 行動惡意軟體
密切關注不斷演變的行動威脅至關重要,因為與國家有關聯的攻擊者持續改進社交工程和惡意軟體傳播技術。近期一起據稱由北韓組織 Kimsuky 發起的攻擊活動凸顯了攻擊者如何將網路釣魚、二維碼和植入木馬的安卓應用程式相結合,以入侵受害者的裝置。
目錄
Kimsuky 最新安卓廣告活動曝光
安全研究人員已將 Kimsuky 與一項傳播名為 DocSwap 的新型安卓惡意軟體的行動聯繫起來。該行動利用釣魚網站冒充總部位於首爾的知名物流公司 CJ Logistics(前身為 CJ Korea Express)。這些虛假頁面設計得非常可信,旨在吸引那些期待收到貨運相關通知的用戶。
二維碼和虛假警報作為感染媒介
攻擊者大量使用二維碼和欺騙性彈窗通知來誘騙用戶安裝惡意應用程式。當使用者從桌面系統存取釣魚頁面時,頁面會顯示一個二維碼,提示訪客使用安卓裝置掃描該二維碼。這種重新導向技術會將受害者引導至安裝看似貨物追蹤或安全驗證的應用程式。
為了進一步欺騙用戶,釣魚頁面會執行一個追蹤性的 PHP 腳本,該腳本會檢查瀏覽器的用戶代理程式 (User-Agent)。根據這項檢查結果,頁面會向使用者顯示訊息,敦促他們安裝一個所謂的安全模組,聲稱這是為了遵守「國際海關安全政策」。這種說法旨在為安裝請求找到合理性,並降低用戶的懷疑。
繞過安卓安全警告
由於安卓系統限制安裝來自未知來源的應用,並會顯示醒目的警告,攻擊者便謊稱該應用程式是官方且安全的版本。這種社會工程策略迫使受害者無視內建的安全保護措施,在收到警告後繼續安裝。
惡意APK分發和執行鏈
如果受害者同意,則會從 IP 位址為 27.102.137.181 的伺服器下載名為 SecDelivery.apk 的 APK 檔案。該軟體包啟動後,會解密其自身資源中嵌入的加密 APK 檔案。在啟動有效載荷之前,它會驗證是否已獲得管理外部儲存、存取互聯網以及安裝其他軟體包的權限。
權限確認後,惡意軟體會註冊一個名為 com.delivery.security.MainService 的服務,並立即啟動一個偽裝成基於一次性密碼 (OTP) 的身份驗證活動。這個虛假的身份驗證畫面會要求輸入送貨單號,該送貨單號硬編碼在 APK 文件中,為 742938128549,很可能是在初始釣魚步驟中提供給受害者的。
欺騙性認證和靜默入侵
輸入運單號碼後,應用程式會產生隨機的六位數驗證碼,並以通知的形式顯示。隨後,系統會提示使用者輸入此驗證碼,從而強化了驗證過程合法性的假象。驗證完成後,應用程式會開啟一個指向CJ物流官方追蹤頁面的WebView,使整個過程看起來真實可信。
同時,惡意元件悄悄連接到攻擊者控制的位於 27.102.137.181 連接埠 50005 的命令與控制伺服器。從這一點開始,新部署的 DocSwap 變種就作為一個功能齊全的遠端存取木馬運行。
遠端存取功能和資料竊取
該惡意軟體能夠接收來自操作者的數十條指令,從而對受感染的設備進行廣泛的監視和控制。其功能包括記錄用戶輸入、監控通訊以及提取敏感的個人數據,將受感染的智慧型手機變成強大的間諜工具。
木馬化應用程式和擴展分發
除了虛假的配送應用程式外,研究人員還發現了其他偽裝成 P2B AirDrop 應用的惡意樣本,以及一款名為 BYCOM VPN 的合法 VPN 產品被竄改的版本。這款正版 VPN 應用程式可在 Google Play 下載,由印度公司 Bycom Solutions 開發。分析表明,Kimsuky 將惡意程式碼注入到合法的 APK 檔案中,並重新打包後用於此次攻擊活動。
網路釣魚基礎設施和憑證竊取
對相關基礎設施的調查顯示,有模仿韓國熱門平台(如Naver和Kakao)的釣魚網站。這些網站旨在竊取用戶憑證,並且與先前專門針對Naver用戶的Kimsuky行動存在重疊,表明其對現有基礎設施進行了重複利用和擴展。
不斷演變的惡意軟體設計
雖然部署的惡意軟體仍然會啟動類似於先前 Kimsuky 工具的遠端存取木馬 (RAT) 服務,但它展現了顯著的演進。嵌入式 APK 使用了新的原生解密函數,並添加了多種誘餌行為,這表明該惡意軟體仍在持續開發,並致力於在提高有效性的同時規避檢測。
