DocSwap Mobile Malware
Es ist unerlässlich, die sich ständig weiterentwickelnden Bedrohungen im mobilen Bereich im Blick zu behalten, da staatlich verbundene Akteure ihre Social-Engineering- und Malware-Verbreitungstechniken kontinuierlich verfeinern. Eine kürzlich durchgeführte Kampagne, die der nordkoreanischen Gruppe Kimsuky zugeschrieben wird, verdeutlicht, wie Angreifer Phishing, QR-Codes und infizierte Android-Apps kombinieren, um die Geräte ihrer Opfer zu kompromittieren.
Inhaltsverzeichnis
Kimsukys neueste Android-Kampagne enthüllt
Sicherheitsforscher haben Kimsuky mit einer neuen Operation in Verbindung gebracht, die eine neue Android-Malware-Variante namens DocSwap verbreitet. Die Kampagne nutzt Phishing-Websites, die sich als das bekannte Logistikunternehmen CJ Logistics (ehemals CJ Korea Express) aus Seoul ausgeben. Diese gefälschten Seiten sollen vertrauenswürdig wirken und zielen auf Nutzer ab, die Benachrichtigungen zu Sendungen erwarten.
QR-Codes und gefälschte Warnmeldungen als Infektionsvektoren
Die Angreifer setzen vor allem auf QR-Codes und irreführende Benachrichtigungen, um Nutzer zur Installation schädlicher Anwendungen zu verleiten. Beim Aufruf über einen Desktop-Computer zeigt die Phishing-Seite einen QR-Code an, der den Besucher zum Scannen mit einem Android-Gerät auffordert. Diese Umleitungsmethode verleitet das Opfer zur Installation einer App, die als Sendungsverfolgungs- oder Sicherheitsüberprüfungs-App präsentiert wird.
Um die Täuschung zu verstärken, führt die Phishing-Seite ein Tracking-PHP-Skript aus, das den User-Agent des Browsers analysiert. Basierend auf dieser Überprüfung werden den Nutzern Meldungen angezeigt, die sie zur Installation eines angeblichen Sicherheitsmoduls auffordern, das angeblich zur Einhaltung „internationaler Zollbestimmungen“ erforderlich sei. Diese Erklärung soll die Installationsaufforderung rechtfertigen und den Verdacht mindern.
Umgehen von Android-Sicherheitswarnungen
Da Android die Installation von Apps aus unbekannten Quellen einschränkt und deutliche Warnungen anzeigt, behaupten die Angreifer fälschlicherweise, die App sei offiziell und sicher. Diese Social-Engineering-Taktik setzt die Opfer unter Druck, die integrierten Schutzmechanismen zu ignorieren und die Installation trotz der Warnungen fortzusetzen.
Kette der Auslieferung und Ausführung bösartiger APKs
Wenn das Opfer zustimmt, wird eine APK-Datei namens SecDelivery.apk vom Server unter 27.102.137.181 heruntergeladen. Nach dem Start entschlüsselt dieses Paket eine in seinen eigenen Ressourcen eingebettete, verschlüsselte APK-Datei. Bevor die Schadsoftware aktiviert wird, überprüft es, ob es die Berechtigungen für die Verwaltung des externen Speichers, den Internetzugang und die Installation zusätzlicher Pakete besitzt.
Nachdem die Berechtigungen bestätigt wurden, registriert die Schadsoftware einen Dienst namens „com.delivery.security.MainService“ und startet umgehend eine Aktivität, die als OTP-basierte Identitätsprüfung getarnt ist. Dieser gefälschte Authentifizierungsbildschirm fordert eine Zustellnummer an, die in der APK fest als 742938128549 codiert ist und den Opfern wahrscheinlich im ersten Phishing-Schritt mitgeteilt wird.
Täuschende Authentifizierung und stille Kompromittierung
Nach Eingabe der Sendungsnummer generiert die App einen zufälligen sechsstelligen Bestätigungscode und zeigt diesen als Benachrichtigung an. Der Nutzer wird anschließend aufgefordert, diesen Code einzugeben, wodurch der Eindruck eines legitimen Sicherheitsprozesses verstärkt wird. Nach erfolgreicher Eingabe öffnet die App eine WebView, die auf die offizielle Sendungsverfolgungsseite von CJ Logistics verweist, wodurch die Transaktion authentisch wirkt.
Währenddessen stellt die Schadkomponente unbemerkt eine Verbindung zu einem vom Angreifer kontrollierten Command-and-Control-Server unter der Adresse 27.102.137.181 auf Port 50005 her. Ab diesem Zeitpunkt agiert die neu eingesetzte DocSwap-Variante als vollwertiger Remote-Access-Trojaner.
Fernzugriffsfunktionen und Datendiebstahl
Die Schadsoftware kann Dutzende von Befehlen von ihren Nutzern empfangen und ermöglicht so eine umfassende Überwachung und Kontrolle des infizierten Geräts. Zu ihren Funktionen gehören die Protokollierung von Nutzereingaben, die Überwachung der Kommunikation und das Extrahieren sensibler personenbezogener Daten. Dadurch wird das kompromittierte Smartphone zu einem leistungsstarken Spionagewerkzeug.
Trojanisierte Apps und erweiterte Verbreitung
Neben der gefälschten Liefer-App identifizierten die Forscher weitere Schadsoftware-Beispiele, die sich als P2B-Airdrop-Anwendung und als kompromittierte Version des legitimen VPN-Produkts BYCOM VPN ausgaben. Die Original-VPN-App ist im Google Play Store erhältlich und wird vom indischen Unternehmen Bycom Solutions entwickelt. Analysen deuten darauf hin, dass Kimsuky Schadcode in die legitime APK-Datei eingeschleust und diese für die Kampagne neu verpackt hat.
Phishing-Infrastruktur und Credential Harvesting
Die Untersuchung der zugrundeliegenden Infrastruktur ergab Phishing-Websites, die beliebte südkoreanische Plattformen wie Naver und Kakao imitierten. Diese Seiten sind darauf ausgelegt, Benutzerdaten zu stehlen und weisen Überschneidungen mit früheren Kimsuky-Operationen auf, die gezielt Naver-Nutzer ins Visier nahmen. Dies deutet auf die Wiederverwendung und Erweiterung bestehender Infrastruktur hin.
Sich entwickelndes Malware-Design
Die eingesetzte Malware startet zwar weiterhin einen RAT-Dienst ähnlich wie frühere Kimsuky-Tools, zeigt aber eine bemerkenswerte Weiterentwicklung. Die Verwendung einer neuen nativen Entschlüsselungsfunktion für die eingebettete APK und die Integration mehrerer Köderverhaltensweisen deuten auf eine kontinuierliche Entwicklung und das Bestreben hin, der Erkennung zu entgehen und gleichzeitig die Effektivität zu steigern.
