O grupo norte-coreano Kimsuky foi identificado em uma nova campanha que distribui uma variante inédita do malware para Android chamada DocSwap.
A infecção acontece por meio de QR codes hospedados em sites de phishing que imitam a empresa de logística sul-coreana CJ Logistics (antiga CJ Korea Express).
Segundo a empresa sul-coreana de cibersegurança ENKI, os agentes utilizam QR codes e pop-ups de notificação para enganar as vítimas, levando-as a instalar e executar o malware em seus dispositivos móveis.
O aplicativo malicioso decifra um APK criptografado embutido e inicia um serviço com funcionalidades de Remote Access Trojan (RAT).
Como o Android bloqueia a instalação de apps de fontes desconhecidas e exibe alertas de segurança, os invasores afirmam que o app é uma versão oficial e segura, convencendo os usuários a ignorar os avisos e prosseguir com a instalação.
Alguns elementos da campanha simulam apps de serviços de entrega, enquanto as vítimas recebem mensagens por smishing ou e-mails de phishing que se passam por empresas de logística.
O objetivo é induzir o clique em URLs maliciosas que hospedam o app fraudulento.
Um ponto importante do ataque é o redirecionamento via QR code, que orienta o usuário a visitar o link em um computador desktop e, em seguida, escanear o código exibido na tela pelo dispositivo Android para instalar o suposto app de rastreamento de encomendas.
A página contém um script PHP de rastreamento que identifica o User-Agent do navegador e exibe uma mensagem solicitando a instalação de um “módulo de segurança” para verificar a identidade do usuário, sob o pretexto de políticas internacionais de segurança aduaneira.
Caso o usuário aceite, um pacote APK denominado “SecDelivery.apk” é baixado do servidor “27.102.137[.]181”.
O arquivo APK então decifra e carrega um APK criptografado embutido para iniciar a nova versão do DocSwap.
Antes disso, ele verifica se obteve permissões para ler e gerenciar armazenamento externo, acessar a internet e instalar outros pacotes.
Após confirmar as permissões, o malware registra o serviço principal “com.delivery.security.MainService” e exibe uma interface falsa de autenticação OTP (One-Time Password), que solicita o número de rastreamento de entrega.
Esse número está codificado no app como “742938128549”, provavelmente fornecido junto da URL maliciosa na fase inicial.
Quando o usuário insere o número, o app gera um código de verificação de seis dígitos aleatório e o apresenta por meio de uma notificação.
Em seguida, solicita que o usuário informe esse código.
Ao ser fornecido, o aplicativo abre uma WebView com o site legítimo de rastreamento de encomendas “www.cjlogistics[.]com/ko/tool/parcel/tracking”.
Enquanto isso, o trojan se conecta a um servidor controlado pelos invasores (“27.102.137[.]181:50005”) e pode executar até 57 comandos, incluindo registrar pressionamentos de teclas, captar áudio, controlar gravação da câmera, manipular arquivos, executar comandos, transferir dados, além de coletar localização, SMS, contatos, registros de chamadas e lista de apps instalados.
Além dessa variante, a ENKI detectou outros dois samples disfarçados: um app falso chamado P2B Airdrop e uma versão trojanizada de um programa VPN legítimo, o BYCOM VPN (“com.bycomsolutions.bycomvpn”), disponível no Google Play e desenvolvido pela empresa indiana Bycom Solutions.
Isso indica que os agentes injetaram funcionalidades maliciosas no APK legítimo e o reorganizaram para o ataque.
A investigação também revelou sites falsos que imitam plataformas sul-coreanas, como Naver e Kakao, usados para coletar credenciais de usuários.
Esses domínios têm semelhanças com campanhas anteriores do Kimsuky, focadas na captura de dados de login do Naver.
De acordo com a ENKI, o malware executa um serviço RAT com funcionalidades similares a ataques anteriores, mas apresenta evoluções, como o uso de uma função nativa para decifrar o APK interno e o emprego de comportamentos diversificados para distração.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...