El actor de amenazas norcoreano Kimsuky ha sido vinculado a una nueva campaña que incluye una nueva variante de malware para Android llamada ” Intercambio de documentos a través de códigos QR alojados en sitios de phishing que se hacen pasar por la empresa de logística CJ Logistics (anteriormente CJ Korea Express), con sede en Seúl.
“El actor de amenazas utilizó códigos QR y ventanas emergentes de notificación para engañar a las víctimas para que instalaran y ejecutaran el malware en sus dispositivos móviles”, dijo ENKI. “La aplicación maliciosa descifra un APK cifrado integrado y lanza un servicio malicioso que proporciona capacidades RAT”.
“Debido a que Android bloquea aplicaciones de fuentes desconocidas y muestra advertencias de seguridad de forma predeterminada, el actor de amenazas afirma que la aplicación es una versión oficial segura para engañar a las víctimas para que ignoren la advertencia e instalen el malware”.
Según la empresa de ciberseguridad de Corea del Sur, algunos de estos artefactos se disfrazan de aplicaciones de servicios de entrega de paquetes. Se cree que los actores de amenazas utilizan mensajes de texto de smishing o correos electrónicos de phishing haciéndose pasar por empresas de entrega para engañar a los destinatarios para que hagan clic en URL con trampas explosivas que albergan las aplicaciones.
Un aspecto notable del ataque es la redirección móvil basada en códigos QR, que solicita a los usuarios que ven las URL desde una computadora de escritorio que escaneen un código QR que se muestra en la página en su dispositivo Android para instalar la supuesta aplicación de seguimiento de envíos y consultar el estado.
Hay un script PHP de seguimiento en la página que verifica la cadena de agente de usuario del navegador y luego muestra un mensaje pidiéndoles que instalen un módulo de seguridad con el pretexto de verificar su identidad basándose en supuestas “políticas de seguridad aduaneras internacionales”.
Si la víctima continúa con la instalación de la aplicación, se descargará un paquete APK (“SecDelivery.apk”) del servidor (“27.102.137(.)181”). Luego, el archivo APK descifra y carga un APK cifrado integrado en sus recursos para iniciar la nueva versión de DocSwap, no sin antes asegurarse de que se le haya otorgado el permiso necesario para leer y administrar el almacenamiento externo, acceder a Internet e instalar paquetes adicionales.
“Una vez que se confirman todos los permisos, registra inmediatamente el MainService del APK recién cargado como 'com.delivery.security.MainService'”, dijo ENKI. “Simultáneamente con el registro del servicio, se inicia la aplicación base AuthActivity. Esta actividad se disfraza como una pantalla de autenticación OTP y verifica la identidad del usuario utilizando un número de entrega”.
El número de seguimiento está codificado en el APK como “742938128549” y probablemente se transmite junto con la URL maliciosa durante la fase de acceso inicial. Una vez que el usuario ingresa el número de entrega proporcionado, la aplicación se configura para generar un código de verificación aleatorio de seis dígitos y mostrarlo como una notificación. Luego se le pedirá que ingrese el código generado.
Una vez que se implementa el código, la aplicación abre un WebView con la URL legítima “www.cjlogistics(.)com/ko/tool/parcel/tracking”, mientras que en segundo plano el troyano se conecta a un servidor controlado por el atacante (“27.102.137(.)181:50005”) y recibe hasta 57 comandos que le permiten registrar pulsaciones de teclas, grabar audio, iniciar/detener grabaciones de cámaras, realizar operaciones con archivos y ejecutar comandos. cargue/descargue archivos y recopile ubicación, mensajes SMS, contactos, registros de llamadas y una lista de aplicaciones instaladas.
ENKI dijo que también descubrió dos ejemplos adicionales disfrazados de una aplicación de lanzamiento aéreo P2B y una versión troyanizada de un programa VPN legítimo llamado BYCOM VPN (“com.bycomsolutions.bycomvpn”), disponible en Google Play Store y desarrollado por una empresa india de servicios de TI llamada Bycom Solutions.
“Esto indica que el actor de la amenaza inyectó una funcionalidad maliciosa en el APK legítimo y lo volvió a empaquetar para usarlo en el ataque”, añadió la empresa de seguridad.
Un análisis más detallado de la infraestructura de los actores de amenazas ha descubierto sitios de phishing que imitan plataformas surcoreanas como Naver y Kakao y tienen como objetivo capturar las credenciales de los usuarios. A su vez, se descubrió que estos sitios web se superponían con una campaña anterior de recolección de credenciales de Kimsuky dirigida a los usuarios de Naver.
“El malware ejecutado lanza un servicio RAT con funcionalidad similar a casos anteriores, pero con características más avanzadas, como usar una nueva función nativa para descifrar el APK interno e incorporar varios comportamientos engañosos”, dijo ENKI.
About The Author
