El actor de amenazas norcoreano conocido como Kimsuky se ha vinculado a una nueva campaña que distribuye una nueva variante de malware para Android llamada DocSwap mediante códigos QR alojados en sitios de suplantación de identidad que imitan a la empresa de logística CJ Logistics (anteriormente CJ Korea Express), con sede en Seúl.
«El actor de la amenaza aprovechó los códigos QR y las ventanas emergentes de notificación para atraer a las víctimas a instalar y ejecutar el malware en sus dispositivos móviles», dijo ENKI dijo . «La aplicación maliciosa descifra un APK cifrado incrustado y lanza un servicio malicioso que proporciona capacidades de RAT».
«Dado que Android bloquea las aplicaciones de fuentes desconocidas y muestra advertencias de seguridad de forma predeterminada, el actor de la amenaza afirma que la aplicación es una versión oficial segura para engañar a las víctimas para que ignoren la advertencia e instalen el malware».
Según la empresa surcoreana de ciberseguridad, algunos de estos artefactos se disfrazan de aplicaciones de servicio de entrega de paquetes. Se está evaluando que las amenazas están utilizando los actores mensajes de texto falsificados o correos electrónicos de suplantación de identidad hacerse pasar por empresas de entrega para engañar a los destinatarios para que hagan clic en las URL con trampas explosivas que alojan las aplicaciones.
Un aspecto destacable del ataque es su redireccionamiento móvil basado en códigos QR, que hace que los usuarios que visiten las URL desde un ordenador de escritorio escaneen un código QR que aparece en la página de su dispositivo Android para instalar la supuesta aplicación de seguimiento de envíos y buscar el estado.
En la página hay un script PHP de seguimiento que comprueba la cadena de usuario-agente del navegador y, a continuación, muestra un mensaje instándolo a instalar un módulo de seguridad con el pretexto de verificar su identidad debido a supuestas «políticas de seguridad aduaneras internacionales».
Si la víctima procede a instalar la aplicación, se descarga un paquete APK (» SecDelivery.apk «) del servidor («27.102.137 [.] 181"). A continuación, el archivo APK descifra y carga un APK cifrado integrado en sus recursos para lanzar la nueva versión de DocSwap, pero no sin antes asegurarse de que ha obtenido los permisos necesarios para leer y administrar el almacenamiento externo, acceder a Internet e instalar paquetes adicionales.
«Una vez que confirma todos los permisos, registra inmediatamente el MainService del APK recién cargado como 'com.Delivery.Security.MainService'», dijo ENKI. «Simultáneamente con el registro del servicio, la aplicación base lanza AuthActivity. Esta actividad se hace pasar por una pantalla de autenticación OTP y verifica la identidad del usuario mediante un número de entrega».
El número de envío está codificado en el APK como «742938128549» y es probable que se entregue junto con la URL maliciosa durante la fase de acceso inicial. Una vez que el usuario introduce el número de entrega proporcionado, la aplicación se configura para generar un código de verificación aleatorio de seis dígitos y mostrarlo en forma de notificación, tras lo cual se le pide que introduzca el código generado.
Tan pronto como se proporciona el código, la aplicación abre un WebView con la URL legítima «www.cjlogistics [.] com/ko/tool/parcel/tracking», mientras que, en segundo plano, el troyano se conecta a un servidor controlado por un atacante («27.102.137 [.] 181:50005 «) y recibe hasta 57 comandos que le permiten registrar las pulsaciones de teclas, capturar audio, iniciar/detener la grabación de la cámara, ejecutar operaciones de archivo, ejecutar comandos, cargue y descargue archivos y recopile la ubicación, los mensajes SMS, los contactos, los registros de llamadas y una lista de las aplicaciones instaladas.
ENKI dijo que también descubrió otras dos muestras disfrazadas de una aplicación P2B Airdrop y una versión troyanizada de un programa VPN legítimo llamado BYCOM VPN («com.bycomsolutions.bycomvpn») disponible en Google Play Store y desarrollado por una empresa india de servicios de TI llamada Bycom Solutions.
«Esto indica que el actor de la amenaza inyectó una funcionalidad maliciosa en el APK legítimo y lo volvió a empaquetar para su uso en el ataque», agregó la empresa de seguridad.
Un análisis más detallado de la infraestructura de los actores de amenazas ha descubierto sitios de suplantación de identidad que imitan plataformas surcoreanas como Naver y Kakao, que buscan capturar las credenciales de los usuarios. Se ha descubierto que estos sitios, a su vez, comparten superposiciones con campaña anterior de recolección de credenciales de Kimsuky dirigido a los usuarios de Naver.
«El malware ejecutado lanza un servicio RAT, con capacidades similares a las de casos anteriores, pero demuestra que ha evolucionado, como el uso de una nueva función nativa para descifrar el APK interno y la incorporación de diversos comportamientos de señuelo», dijo ENKI.