El actor de amenazas norcoreano conocido como Kimsuky ha sido vinculado a una nueva campaña que distribuye una nueva variante de malware para Android llamada Intercambio de documentos a través de códigos QR alojados en sitios de phishing que imitan a la empresa de logística CJ Logistics (anteriormente CJ Korea Express), con sede en Seúl.
«El actor de la amenaza aprovechó los códigos QR y las notificaciones emergentes para atraer a las víctimas a instalar y ejecutar el malware en sus dispositivos móviles», dijo ENKI. «La aplicación maliciosa descifra un APK cifrado integrado y lanza un servicio malicioso que proporciona capacidades RAT».
«Dado que Android bloquea aplicaciones de fuentes desconocidas y muestra advertencias de seguridad de forma predeterminada, el actor de amenazas afirma que la aplicación es una versión oficial segura para engañar a las víctimas para que ignoren la advertencia e instalen el malware».
Según la empresa de ciberseguridad de Corea del Sur, algunos de estos artefactos se hacen pasar por aplicaciones de servicios de entrega de paquetes. Se está evaluando que los actores de amenazas están utilizando mensajes de texto de smishing o correos electrónicos de phishing haciéndose pasar por empresas de entrega para engañar a los destinatarios para que hagan clic en URL con trampas explosivas que albergan las aplicaciones.
Un aspecto digno de mención del ataque es su redirección móvil basada en códigos QR, que solicita a los usuarios que visitan las URL desde una computadora de escritorio que escaneen un código QR que se muestra en la página en su dispositivo Android para instalar la supuesta aplicación de seguimiento de envíos y buscar el estado.
Dentro de la página hay un script PHP de seguimiento que verifica la cadena User-Agent del navegador y luego muestra un mensaje instándolos a instalar un módulo de seguridad con el pretexto de verificar su identidad debido a supuestas «políticas de seguridad aduaneras internacionales».
Si la víctima procede a instalar la aplicación, se descarga un paquete APK («SecDelivery.apk») del servidor («27.102.137(.)181»). Luego, el archivo APK descifra y carga un APK cifrado integrado en sus recursos para iniciar la nueva versión de DocSwap, no sin antes asegurarse de que ha obtenido el permiso necesario para leer y administrar el almacenamiento externo, acceder a Internet e instalar paquetes adicionales.
«Una vez que confirma todos los permisos, registra inmediatamente el MainService del APK recién cargado como ‘com.delivery.security.MainService'», dijo ENKI. «Simultáneamente con el registro del servicio, la aplicación base inicia AuthActivity. Esta actividad se hace pasar por una pantalla de autenticación OTP y verifica la identidad del usuario utilizando un número de entrega».
El número de envío está codificado dentro del APK como «742938128549» y probablemente se entrega junto con la URL maliciosa durante la fase de acceso inicial. Una vez que el usuario ingresa el número de entrega proporcionado, la aplicación se configura para generar un código de verificación aleatorio de seis dígitos y mostrarlo como una notificación, luego de lo cual se le solicita que ingrese el código generado.
Tan pronto como se proporciona el código, la aplicación abre un WebView con la URL legítima «www.cjlogistics(.)com/ko/tool/parcel/tracking», mientras, en segundo plano, el troyano se conecta a un servidor controlado por el atacante («27.102.137(.)181:50005») y recibe hasta 57 comandos que le permiten registrar pulsaciones de teclas, capturar audio, iniciar/detener la grabación de la cámara, realizar operaciones con archivos, ejecutar comandos, cargar/descargar archivos y recopilar ubicación, mensajes SMS, contactos, registros de llamadas y una lista de aplicaciones instaladas.
ENKI dijo que también descubrió otras dos muestras disfrazadas de una aplicación P2B Airdrop y una versión troyanizada de un programa VPN legítimo llamado BYCOM VPN («com.bycomsolutions.bycomvpn») que está disponible en Google Play Store y desarrollado por una empresa india de servicios de TI llamada Bycom Solutions.
«Esto indica que el actor de la amenaza inyectó una funcionalidad maliciosa en el APK legítimo y lo volvió a empaquetar para usarlo en el ataque», añadió la empresa de seguridad.
Un análisis más detallado de la infraestructura de los actores de amenazas ha descubierto sitios de phishing que imitan plataformas surcoreanas como Naver y Kakao que buscan capturar las credenciales de los usuarios. Se ha descubierto que estos sitios, a su vez, comparten superposiciones con una campaña anterior de recolección de credenciales de Kimsuky dirigida a los usuarios de Naver.
«El malware ejecutado lanza un servicio RAT, similar a casos anteriores, pero demuestra capacidades evolucionadas, como el uso de una nueva función nativa para descifrar el APK interno y la incorporación de diversos comportamientos señuelo», dijo ENKI.
