Kimsuky phát tán mã độc DocSwap cho Android thông qua hình thức lừa đảo mã QR

[T-X]

Nhóm tội phạm mạng Triều Tiên có tên Kimsuky được cho là có liên quan đến một chiến dịch mới phát tán một biến thể mới của phần mềm độc hại Android có tên DocSwap thông qua mã QR được lưu trữ trên các trang web lừa đảo giả mạo công ty logistics CJ Logistics (trước đây là CJ Korea Express) có trụ sở tại Seoul.

"Tác nhân gây án đã lợi dụng mã QR và thông báo bật lên để dụ dỗ nạn nhân cài đặt và chạy phần mềm độc hại trên thiết bị di động của họ", ENKI cho biết. "Ứng dụng độc hại giải mã tệp APK được mã hóa nhúng bên trong và khởi chạy một dịch vụ độc hại cung cấp khả năng RAT (Remote Access Trojan)."

"Vì Android chặn các ứng dụng từ nguồn không xác định và hiển thị cảnh báo bảo mật theo mặc định, kẻ tấn công tuyên bố ứng dụng này là bản phát hành chính thức an toàn nhằm lừa nạn nhân bỏ qua cảnh báo và cài đặt phần mềm độc hại."

Theo một công ty an ninh mạng của Hàn Quốc, một số phần mềm độc hại này ngụy trang thành các ứng dụng dịch vụ giao hàng. Người ta đang đánh giá rằng các đối tượng tấn công đang sử dụng tin nhắn SMS hoặc email lừa đảo giả mạo các công ty giao hàng để lừa người nhận nhấp vào các URL cài bẫy chứa các ứng dụng đó.

Một khía cạnh đáng chú ý của cuộc tấn công là việc chuyển hướng người dùng sang thiết bị di động bằng mã QR, yêu cầu người dùng truy cập các URL từ máy tính để bàn quét mã QR hiển thị trên trang bằng thiết bị Android của họ để cài đặt ứng dụng theo dõi vận chuyển giả mạo và tra cứu trạng thái.

Mã QR được thiết kế để chuyển hướng người dùng đến một tập lệnh "tracking.php" thực thi logic phía máy chủ nhằm kiểm tra chuỗi User-Agent của trình duyệt và hiển thị một thông báo yêu cầu họ cài đặt một mô-đun bảo mật dưới danh nghĩa xác minh danh tính do "các chính sách an ninh hải quan quốc tế" được cho là cần thiết.

Nếu nạn nhân tiếp tục cài đặt ứng dụng, một gói APK ("SecDelivery.apk") sẽ được tải xuống từ máy chủ ("27.102.137[.]181"). Sau đó, tệp APK sẽ được giải mã và tải một APK được mã hóa nhúng trong tài nguyên của nó để khởi chạy phiên bản mới của DocSwap, nhưng trước đó nó sẽ xác minh rằng mình đã có được quyền cần thiết để đọc và quản lý bộ nhớ ngoài, truy cập internet và cài đặt các gói bổ sung.

ENKI cho biết: "Sau khi xác nhận tất cả các quyền, hệ thống sẽ ngay lập tức đăng ký MainService của APK vừa được tải xuống với tên gọi 'com.delivery.security.MainService'. Đồng thời với việc đăng ký dịch vụ, ứng dụng cơ bản sẽ khởi chạy AuthActivity. Hoạt động này giả dạng màn hình xác thực OTP và xác minh danh tính người dùng bằng số đơn hàng."

Mã số vận đơn được mã hóa cứng trong tệp APK là "742938128549" và có khả năng được gửi kèm theo URL độc hại trong giai đoạn truy cập ban đầu. Sau khi người dùng nhập mã số vận đơn được cung cấp, ứng dụng sẽ được cấu hình để tạo mã xác minh ngẫu nhiên gồm sáu chữ số và hiển thị mã đó dưới dạng thông báo, sau đó người dùng được yêu cầu nhập mã đã tạo.

Ngay sau khi mã được cung cấp, ứng dụng sẽ mở một WebView với URL hợp lệ "www.cjlogistics[.]com/ko/tool/parcel/tracking," trong khi đó, ở chế độ nền, phần mềm độc hại kết nối với máy chủ do kẻ tấn công điều khiển ("27.102.137[.]181:50005") và nhận tới 57 lệnh cho phép nó ghi lại các thao tác gõ phím, thu âm, bắt đầu/dừng ghi hình camera, thực hiện các thao tác tệp, chạy lệnh, tải lên/tải xuống tệp và thu thập vị trí, tin nhắn SMS, danh bạ, nhật ký cuộc gọi và danh sách các ứng dụng đã cài đặt.

ENKI cho biết họ cũng đã phát hiện ra hai mẫu khác được ngụy trang dưới dạng ứng dụng Airdrop P2B và một phiên bản bị nhiễm mã độc của chương trình VPN hợp pháp có tên BYCOM VPN ("com.bycomsolutions.bycomvpn"), có sẵn trên Google Play Store và được phát triển bởi một công ty dịch vụ CNTT của Ấn Độ tên là Bycom Solutions.

"Điều này cho thấy kẻ tấn công đã chèn chức năng độc hại vào tệp APK hợp pháp và đóng gói lại để sử dụng trong cuộc tấn công," công ty bảo mật cho biết thêm.

Phân tích sâu hơn về cơ sở hạ tầng của nhóm tội phạm mạng đã phát hiện ra các trang web lừa đảo giả mạo các nền tảng của Hàn Quốc như Naver và Kakao nhằm mục đích đánh cắp thông tin đăng nhập của người dùng. Các trang web này, đến lượt mình, được phát hiện có sự trùng lặp với chiến dịch thu thập thông tin đăng nhập Kimsuky trước đó nhắm vào người dùng Naver.

"Phần mềm độc hại được thực thi sẽ khởi chạy một dịch vụ RAT, tương tự như các trường hợp trước đây nhưng thể hiện khả năng được nâng cấp, chẳng hạn như sử dụng một chức năng gốc mới để giải mã APK nội bộ và kết hợp nhiều hành vi đánh lạc hướng khác nhau," ENKI cho biết.