HackerNews 编译,转载请注明出处:
韩国网络安全公司ENKI表示:”该威胁行为者利用二维码和通知弹窗,诱使受害者在移动设备上安装并执行恶意软件。该恶意应用程序会解密一个内嵌的加密APK文件,并启动一个提供远程访问木马功能的恶意服务。由于安卓系统默认阻止安装来源不明的应用并显示安全警告,威胁行为者声称该应用是安全、官方的版本,以此欺骗受害者忽略警告并安装恶意软件。”
据该公司称,其中一些恶意软件伪装成包裹快递服务应用。据评估,威胁行为者正在使用冒充快递公司的短信钓鱼或钓鱼邮件,诱骗收件人点击托管着恶意应用的恶意网址。
这次攻击的一个值得注意的特点是使用基于二维码的移动重定向。当用户从桌面电脑访问网址时,会提示他们在安卓设备上扫描页面显示的二维码,以安装所谓的包裹追踪应用并查询状态。该二维码设计用于将用户重定向到”tracking.php”脚本,该脚本实现服务器端逻辑,检查浏览器的User-Agent字符串,并显示一条消息,借口因所谓的”国际海关安全政策”需要验证身份,敦促他们安装”安全模块”。
如果受害者继续安装该应用,便会从服务器(”27.102.137[.]181″)下载一个APK包(”SecDelivery.apk”)。然后,该APK文件会解密并加载嵌入其资源中的加密APK,以启动新版本的DocSwap,但在此之前会先确认其已获得读取和管理外部存储、访问互联网以及安装其他软件包的必要权限。
ENKI表示:”一旦确认所有权限,它会立即将新加载APK的MainService注册为’com.delivery.security.MainService’。在服务注册的同时,基础应用程序会启动AuthActivity。该活动伪装成一次性密码(OTP)认证界面,并使用快递单号验证用户身份。”
快递单号在APK中硬编码为”742938128549″,很可能与恶意网址在初始访问阶段一同传递。一旦用户输入提供的快递单号,应用程序将生成一个随机的六位数验证码并作为通知显示,随后提示用户输入生成的验证码。
验证码一经输入,应用程序就会打开一个指向合法网址“www.cjlogistics[.]com/ko/tool/parcel/tracking”的WebView。与此同时,木马会在后台连接到攻击者控制的服务器(”27.102.137[.]181:50005″),并接收多达57条命令,使其能够记录键盘输入、捕获音频、开始/停止摄像头录制、执行文件操作、运行命令、上传/下载文件,以及收集位置信息、短信、联系人、通话记录和已安装应用列表。
ENKI表示,还发现了另外两个伪装样本:一个是P2B空投应用,另一个是被木马化的合法VPN程序BYCOM VPN(”com.bycomsolutions.bycomvpn”)的版本。该VPN程序在Google Play商店中提供,由一家名为Bycom Solutions的印度IT服务公司开发。安全公司补充道:”这表明威胁行为者向合法的APK中注入了恶意功能,并重新打包用于攻击。”
对威胁行为者基础设施的进一步分析,发现了模仿韩国Naver和Kakao等平台的钓鱼网站,旨在窃取用户凭证。这些网站被发现与先前Kimsuky针对Naver用户的凭证窃取活动存在关联。
ENKI表示:”执行的恶意软件会启动一个RAT服务,类似于过去的案例,但展示了进化的能力,例如使用新的原生函数来解密内部APK,并融合了多种伪装行为。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文