Se dice que el actor de amenazas norcoreano conocido como Kimsuky está detrás de una nueva campaña que distribuye una nueva variante de malware para Android llamada DocSwap a través de códigos QR alojados en sitios de phishing que imitan a la empresa de logística CJ Logistics (anteriormente CJ Korea Express), con sede en Seúl.
«Los atacantes utilizaron códigos QR y ventanas emergentes de notificación para atraer a las víctimas a instalar y ejecutar malware en sus dispositivos móviles», dijo ENKI. «La aplicación maliciosa descifra el APK cifrado integrado y lanza un servicio malicioso que proporciona la funcionalidad RAT».
«Debido a que Android bloquea aplicaciones de fuentes desconocidas y muestra advertencias de seguridad de forma predeterminada, los atacantes pueden afirmar que la aplicación es una versión oficial segura y engañar a las víctimas para que ignoren la advertencia e instalen el malware».
Según la firma de ciberseguridad de Corea del Sur, algunos de estos artefactos están disfrazados de aplicaciones de servicios de entrega de paquetes. Se cree que los atacantes utilizan mensajes de texto de smishing y correos electrónicos de phishing que se hacen pasar por compañías de envío para engañar a los destinatarios para que hagan clic en las URL trampa que alojan la aplicación.
Un aspecto notable de este ataque es la redirección móvil basada en códigos QR. Esto solicita a los usuarios que visitan la URL desde una computadora de escritorio que escaneen un código QR en la página en su dispositivo Android para instalar lo que parece ser una aplicación de seguimiento de envíos y verificar su estado.
Dentro de esta página hay un script PHP de seguimiento que verifica la cadena de agente de usuario del navegador y muestra un mensaje que solicita al usuario que instale un módulo de seguridad con el pretexto de verificar la identidad de acuerdo con la Política de Seguridad Aduanera Internacional.
Si la víctima continúa instalando la aplicación, se descarga un paquete APK (‘SecDeliver.apk’) del servidor (‘27.102.137(.)181’). Luego, el archivo APK descifra y carga el APK cifrado incrustado en el recurso e inicia la nueva versión de DocSwap, pero antes de hacerlo, se asegura de que tiene los permisos necesarios para leer y administrar el almacenamiento externo, acceder a Internet e instalar paquetes adicionales.
«Una vez que verificamos todos los permisos, registramos inmediatamente el MainService del APK recién cargado como ‘com.delivery.security.MainService'», dijo ENKI. «Al registrarse en el servicio, la aplicación base inicia una AuthActivity. Esta actividad se disfraza como una pantalla de autenticación OTP y utiliza el número de envío para verificar la identidad del usuario».
El número de envío está codificado dentro del APK como «742938128549» y puede entregarse junto con una URL maliciosa durante la etapa de acceso inicial. Cuando un usuario ingresa el número de envío proporcionado, la aplicación genera un código de verificación aleatorio de seis dígitos, lo muestra como una notificación y se le solicita que ingrese el código generado.
Tan pronto como se proporciona el código, la aplicación abre un WebView con la URL legítima «www.cjlogistics(.)com/ko/tool/parcel/tracking», mientras que el troyano se conecta a un servidor controlado por el atacante en segundo plano («27.102.137(.)181:50005») y recibe hasta 57 comandos que le permiten grabar pulsaciones de teclas, capturar audio e iniciar/detener la grabación de la cámara. Puede manipular archivos, ejecutar comandos, cargar/descargar archivos, recopilar información de ubicación, mensajes SMS, contactos, registros de llamadas y una lista de aplicaciones instaladas.
ENKI dijo que también descubrió otras dos muestras disfrazadas de aplicaciones P2B Airdrop y una versión troyanizada de un programa VPN legítimo llamado BYCOM VPN (‘com.bycomsolutions.bycomvpn’) desarrollado por la empresa india de servicios de TI Bycom Solutions. Este programa está disponible en Google Play Store y fue desarrollado por.
«Esto indica que los atacantes inyectaron funcionalidad maliciosa en APK legítimos y los reempaquetaron para usarlos en ataques», añadió la firma de seguridad.
Un análisis más detallado de la infraestructura del actor de amenazas reveló sitios de phishing que imitan plataformas coreanas como Naver y Kakao e intentan capturar las credenciales de los usuarios. Se descubrió que estos sitios eran duplicados de campañas anteriores de recolección de credenciales de Kimsuky dirigidas a usuarios de Naver.
«El malware ejecutado lanza servicios y funciones RAT, como en casos anteriores, pero muestra evolución, incluido el uso de nuevas funciones nativas para descifrar APK internos y la incorporación de una variedad de comportamientos señuelo», dijo ENKI.
Source link
