De Noord-Koreaanse bedreigingsacteur, bekend als Kimsuky, is in verband gebracht met een nieuwe campagne die een nieuwe variant van Android-malware verspreidt, genaamd DocSwap via QR-codes die worden gehost op phishing-sites die lijken op het in Seoul gevestigde logistieke bedrijf CJ Logistics (voorheen CJ Korea Express).
“De dreigingsactor maakte gebruik van QR-codes en pop-ups met meldingen om slachtoffers ertoe te verleiden de malware op hun mobiele apparaten te installeren en uit te voeren”, aldus ENKI. “De kwaadaardige app decodeert een ingebedde gecodeerde APK en lanceert een kwaadaardige service die RAT-mogelijkheden biedt.”
“Aangezien Android apps van onbekende bronnen blokkeert en standaard beveiligingswaarschuwingen weergeeft, beweert de bedreigingsacteur dat de app een veilige, officiële release is om slachtoffers te misleiden zodat ze de waarschuwing negeren en de malware installeren.”
Volgens het Zuid-Koreaanse cyberbeveiligingsbedrijf doen sommige van deze artefacten zich voor als apps voor pakketbezorgdiensten. Er wordt vastgesteld dat de bedreigingsactoren smishing-sms’jes of phishing-e-mails gebruiken die zich voordoen als bezorgbedrijven om ontvangers te misleiden zodat ze op boobytraps-URL’s klikken waarop de apps worden gehost.
Een opmerkelijk aspect van de aanval is de op QR-code gebaseerde mobiele omleiding, die gebruikers die de URL’s vanaf een desktopcomputer bezoeken, ertoe aanzet een QR-code te scannen die op de pagina op hun Android-apparaat wordt weergegeven om de zogenaamde app voor het volgen van verzendingen te installeren en de status op te zoeken.
Op de pagina is een tracking-PHP-script aanwezig dat de User-Agent-string van de browser controleert en vervolgens een bericht weergeeft waarin hen wordt aangespoord een beveiligingsmodule te installeren onder het mom van het verifiëren van hun identiteit vanwege een zogenaamd ‘internationaal douaneveiligheidsbeleid’.
Mocht het slachtoffer doorgaan met het installeren van de app, dan wordt een APK-pakket (“SecDelivery.apk”) gedownload van de server (“27.102.137(.)181”). Het APK-bestand decodeert vervolgens en laadt een gecodeerde APK die in de bronnen is ingebed om de nieuwe versie van DocSwap te starten, maar niet voordat is vastgesteld dat het de benodigde toestemming heeft verkregen om externe opslag te lezen en te beheren, toegang te krijgen tot internet en aanvullende pakketten te installeren.
“Zodra alle machtigingen zijn bevestigd, registreert het onmiddellijk de MainService van de nieuw geladen APK als ‘com.delivery.security.MainService'”, aldus ENKI. “Gelijktijdig met de serviceregistratie start de basisapplicatie AuthActivity. Deze activiteit doet zich voor als een OTP-authenticatiescherm en verifieert de identiteit van de gebruiker met behulp van een leveringsnummer.”
Het verzendnummer is in de APK hardgecodeerd als ‘742938128549’ en wordt waarschijnlijk samen met de kwaadaardige URL weergegeven tijdens de eerste toegangsfase. Zodra de gebruiker het opgegeven leveringsnummer invoert, wordt de applicatie geconfigureerd om een willekeurige zescijferige verificatiecode te genereren en deze als melding weer te geven, waarna hem wordt gevraagd de gegenereerde code in te voeren.
Zodra de code wordt verstrekt, opent de app een WebView met de legitieme URL “www.cjlogistics(.)com/ko/tool/parcel/tracking”, terwijl de trojan op de achtergrond verbinding maakt met een door de aanvaller bestuurde server (“27.102.137(.)181:50005”) en maar liefst 57 opdrachten ontvangt waarmee hij toetsaanslagen kan registreren, audio kan vastleggen, camera-opname kan starten/stoppen, bestandsbewerkingen kan uitvoeren, opdrachten, bestanden uploaden/downloaden en locatie, sms-berichten, contacten, oproeplogboeken en een lijst met geïnstalleerde apps verzamelen.
ENKI zei dat het ook twee andere voorbeelden heeft ontdekt, vermomd als een P2B Airdrop-app en een getrojaniseerde versie van een legitiem VPN-programma genaamd BYCOM VPN (“com.bycomsolutions.bycomvpn”) dat beschikbaar is in de Google Play Store en is ontwikkeld door een Indiaas IT-servicesbedrijf genaamd Bycom Solutions.
“Dit geeft aan dat de bedreigingsacteur kwaadaardige functionaliteit in de legitieme APK heeft geïnjecteerd en deze opnieuw heeft verpakt voor gebruik bij de aanval”, voegde het beveiligingsbedrijf eraan toe.
Verdere analyse van de infrastructuur van de bedreigingsactoren heeft phishing-sites blootgelegd die Zuid-Koreaanse platforms zoals Naver en Kakao nabootsen en die proberen de inloggegevens van gebruikers te bemachtigen. Deze sites bleken op hun beurt overlap te vertonen met een eerdere Kimsuky-campagne voor het verzamelen van inloggegevens, gericht op Naver-gebruikers.
“De uitgevoerde malware lanceert een RAT-service, vergelijkbaar met eerdere gevallen, maar demonstreert geëvolueerde mogelijkheden, zoals het gebruik van een nieuwe native functie om de interne APK te decoderen en het integreren van divers lokgedrag”, aldus ENKI.
