El actor de amenazas norcoreano conocido como Kimsuky ha sido vinculado a una nueva campaña que distribuye una nueva reforma de malware para Android convocatoria Intercambio de documentos a través de códigos QR alojados en sitios de phishing que imitan a la empresa de abastecimiento CJ Logistics (anteriormente CJ Korea Express), con sede en Seúl.
“El actor de la amenaza aprovechó los códigos QR y las notificaciones emergentes para atraer a las víctimas a instalar y ejecutar el malware en sus dispositivos móviles”, dijo ENKI. “La aplicación maliciosa descifra un APK secreto integrado y lanceta un servicio bellaco que proporciona capacidades RAT”.
“Poliedro que Android bloquea aplicaciones de fuentes desconocidas y muestra advertencias de seguridad de forma predeterminada, el actor de amenazas afirma que la aplicación es una lectura oficial segura para engañar a las víctimas para que ignoren la advertencia e instalen el malware”.
Según la empresa de ciberseguridad de Corea del Sur, algunos de estos artefactos se hacen suceder por aplicaciones de servicios de entrega de paquetes. Se está evaluando que los actores de amenazas están utilizando mensajes de texto de smishing o correos electrónicos de phishing haciéndose suceder por empresas de entrega para engañar a los destinatarios para que hagan clic en URL con trampas explosivas que albergan las aplicaciones.
Un aspecto digno de mención del ataque es su redirección móvil basada en códigos QR, que solicita a los usuarios que visitan las URL desde una computadora de escritorio que escaneen un código QR que se muestra en la página en su dispositivo Android para instalar la supuesta aplicación de seguimiento de envíos y despabilarse el estado.
En el interior de la página hay un script PHP de seguimiento que verifica la esclavitud User-Agent del navegador y luego muestra un mensaje instándolos a instalar un módulo de seguridad con el pretexto de revisar su identidad conveniente a supuestas “políticas de seguridad aduaneras internacionales”.
Si la víctima procede a instalar la aplicación, se descarga un paquete APK (“SecDelivery.apk”) del servidor (“27.102.137(.)181”). Luego, el archivo APK descifra y carga un APK secreto integrado en sus posibles para iniciar la nueva lectura de DocSwap, no sin antaño cerciorarse de que ha obtenido el permiso necesario para descifrar y regir el almacenamiento forastero, entrar a Internet e instalar paquetes adicionales.
“Una vez que confirma todos los permisos, registra inmediatamente el MainService del APK recién cargado como ‘com.delivery.security.MainService'”, dijo ENKI. “Simultáneamente con el registro del servicio, la aplicación almohadilla inicia AuthActivity. Esta actividad se hace suceder por una pantalla de autenticación OTP y verifica la identidad del sucesor utilizando un número de entrega”.
El número de remesa está codificado internamente del APK como “742938128549” y probablemente se entrega pegado con la URL maliciosa durante la grado de comunicación auténtico. Una vez que el sucesor ingresa el número de entrega proporcionado, la aplicación se configura para originar un código de demostración fortuito de seis dígitos y mostrarlo como una notificación, luego de lo cual se le solicita que ingrese el código generado.
Tan pronto como se proporciona el código, la aplicación abre un WebView con la URL legítima “www.cjlogistics(.)com/ko/tool/parcel/tracking”, mientras, en segundo plano, el troyano se conecta a un servidor controlado por el atacante (“27.102.137(.)181:50005”) y recibe hasta 57 comandos que le permiten registrar pulsaciones de teclas, capturar audio, iniciar/detener la compacto de la cámara, realizar operaciones con archivos, ejecutar comandos, cargar/descargar archivos y resumir ubicación, mensajes SMS, contactos, registros de llamadas y una serie de aplicaciones instaladas.
ENKI dijo que incluso descubrió otras dos muestras disfrazadas de una aplicación P2B Airdrop y una lectura troyanizada de un software VPN genuino llamado BYCOM VPN (“com.bycomsolutions.bycomvpn”) que está arreglado en Google Play Store y desarrollado por una empresa india de servicios de TI convocatoria Bycom Solutions.
“Esto indica que el actor de la amenaza inyectó una funcionalidad maliciosa en el APK genuino y lo volvió a empaquetar para usarlo en el ataque”, añadió la empresa de seguridad.
Un exploración más detallado de la infraestructura de los actores de amenazas ha descubierto sitios de phishing que imitan plataformas surcoreanas como Naver y Kakao que buscan capturar las credenciales de los usuarios. Se ha descubierto que estos sitios, a su vez, comparten superposiciones con una campaña precursor de monasterio de credenciales de Kimsuky dirigida a los usuarios de Naver.
“El malware ejecutado lanceta un servicio RAT, capacidades similares a casos anteriores, pero demuestra una crecimiento, como el uso de una nueva función nativa para descifrar el APK interno y la incorporación de diversos comportamientos señuelo”, dijo ENKI.
