TokyoBlackHatNews

gbhackers.com 5分で読了

Kimsukyハッカー、武器化したQRコードを用いて悪意あるモバイルアプリを配布

脅威研究者は、北朝鮮と関連する脅威アクターKimsukyによる高度なモバイルマルウェアキャンペーンを発見した。武器化したQRコードと、配送サービスになりすました不正な偽装を悪用し、ユーザーをだましてスマートフォンにリモートアクセス型トロイの木馬をインストールさせるというものだ。

ENKI WhiteHat Threat Research Teamは、悪意あるURLを含むフィッシングメッセージから始まる巧妙なソーシャルエンジニアリング手法を通じて配布されている「DOCSWAP」マルウェアの最新亜種を特定した。

ユーザーが個人用コンピュータからこれらのリンクにアクセスすると、閲覧のためにモバイル端末へ切り替えるよう促すQRコードが表示される。

これらのQRコードは最終的に、正規サービスを装った悪意あるAndroidアプリケーションをホストする配布サーバーへ被害者をリダイレクトする。

APKのメタデータとインフラの重複を活用し、追加で3つの悪意あるアプリケーションと7つのC&Cサーバーを特定した。

Image
攻撃フロー図.

配布ワークフローでは、ユーザーの端末種別を検出するサーバー側ロジックが用いられ、Androidユーザーにのみセキュリティ警告とダウンロード促進を表示し、デスクトップブラウザからのアクセスはブロックしていた。

QRコード攻撃キャンペーン

被害者が「セキュリティアプリをインストール」ボタンをクリックすると、サーバーはAPKのダウンロードを開始すると同時に、アクセス試行と送信の詳細を追跡用データベースに記録した。

セキュリティ研究者は、攻撃者が27.102.137[.]181にあるインフラからマルウェアを配布し、CJ Logisticsを含む主要物流企業になりすました偽の配送追跡ページを作成していたことを確認した。

Image
QRベースのモバイルリダイレクト.

「SecDelivery.apk」と名付けられた悪意あるアプリケーションは、高度な2段階感染メカニズムを実装している。

実行されると、従来のDOCSWAP亜種で用いられていたJavaベースのXOR復号ではなく、新たに開発されたネイティブ復号関数を用いて、埋め込まれた暗号化APKファイルを復号する。

この進化した手法では、ビット反転、5ビット回転、4バイト鍵によるXOR暗号化など複数の難読化レイヤーが適用され、検知回避能力が大幅に高められている。

復号されたペイロードは、完全なリモートアクセス型トロイの木馬機能を提供する永続的な悪意あるサービスを起動する。

このマルウェアは、ファイルシステムへのアクセス、SMSの傍受、端末状態の監視、バックグラウンドサービス実行能力など、危険な権限を広範に要求する。

特筆すべき点として、このアプリはOTT(オーバー・ザ・トップ)検証システムを装った偽の認証画面を表示し、ハードコードされた配送追跡番号の入力を要求することで欺瞞を維持する一方、ユーザーの背後で悪意あるペイロードを実行する。

復号された内部APKは配布サーバーへコマンド&コントロール接続を確立し、機密データの窃取、音声録音、キーストロークの取得、感染端末の遠隔操作を可能にする57種類のコマンドを実装している。

アプリが実行されると、SplashActivityがAPKに埋め込まれた暗号化リソースを読み込み、悪意ある挙動に必要な各種権限を取得する。

Image
AndoridManifest.xmlのMAINアクティビティ.

研究者は、このキャンペーンをKimsukyに帰属させる複数の指標を特定した。これには、同脅威グループのフィッシング基盤と以前関連付けられていた「Million OK!!!!」という署名文字列の存在が含まれる。

潜在的リスクと影響

調査により、既知のKimsukyによるNaverフィッシングキャンペーンとのインフラ重複、同一のパラメータ構造、そして共有されたコマンド&コントロールサーバー基盤が明らかになった。

配送番号はAPK内に「742938128549」としてハードコードされており、脅威アクターは初期アクセス段階で悪意あるURLと併せてこれを送付した可能性が高いと評価している。

Image
偽の認証画面.

さらに、マルウェアコードおよび配布サイト内に「leave log when button is clicked(ボタンがクリックされたときにログを残す)」や「APK download started(APKダウンロード開始)」といったフレーズを含む韓国語のコメントが埋め込まれていることは、脅威アクターの韓国語運用能力と北朝鮮の作戦との結びつきを強く示している。

包括的な分析により、同一のJARMフィンガープリントを用いる追加のコマンド&コントロールサーバーが7台、さらに配送サービス、暗号資産エアドロップ、VPNアプリを装った追加の悪意あるアプリケーションが3つ見つかった。

研究者はまた、高度なログイン認証情報の傍受ルーチンを通じて被害者からNaverおよびKakaoの認証情報を収集する、プロキシ型のフィッシングサイトも記録した。

セキュリティ専門家は、特に不明な送信者からのリンクについてはクリック前に遷移先を確認し、アプリの権限要求を保守的に評価することを推奨している。

組織は、モバイル脅威検知ソリューションを導入し、アプリ審査ポリシーを徹底し、モバイルプラットフォームを狙う高度なフィッシング手法について従業員を教育すべきである。

このキャンペーンは、モバイル領域における北朝鮮の悪用能力が進化していることを示すとともに、企業環境および消費者環境の双方においてモバイルセキュリティ意識が極めて重要であることを浮き彫りにしている。

翻訳元: https://gbhackers.com/weaponized-qr-codes/

ソース: gbhackers.com
#Android #C2(コマンド&コントロール) #Kimsuky #QRコード攻撃 #ソーシャルエンジニアリング #フィッシング #モバイルマルウェア #リモートアクセス型トロイの木馬(RAT) #偽配送サービス #北朝鮮系ハッカー

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚