Южнокорейская компания ENKI, специализирующаяся на кибербезопасности, зафиксировала новую активность северокорейской хакерской группировки Kimsuky. Злоумышленники организовали кампанию по распространению нового варианта вредоносного ПО для Android под названием DocSwap. Основными методами атаки стали QR-фишинг (квишинг), смишинг (SMS-фишинг) и фишинговые электронные письма. Для обмана жертв хакеры выдают себя за сеульскую логистическую фирму CJ Logistics (ранее известную как CJ Korea Express), а также имитируют другие легитимные приложения.
Атака начинается с получения пользователем сообщения или письма, якобы отправленного службой доставки и содержащего вредоносную ссылку. При переходе по ней специальный PHP-скрипт анализирует строку User-Agent браузера. Если ссылка открывается на настольном компьютере, страница отображает QR-код с предложением отсканировать его Android-устройством для «установки приложения для отслеживания груза». Это позволяет злоумышленникам эффективно перенаправлять пользователей с защищенных десктопов на уязвимые мобильные устройства.
Для успешного внедрения вредоноса Kimsuky применяет методы социальной инженерии. Пользователям демонстрируется сообщение, призывающее установить модуль безопасности для проверки личности, ссылаясь на якобы действующие «международные таможенные правила безопасности». В инструкции утверждается, что приложение является «безопасным официальным выпуском», что побуждает жертв игнорировать стандартные предупреждения Android об установке программ из неизвестных источников.
Технический анализ показал, что загружаемый файл имеет имя
Чтобы усыпить бдительность пользователя, программа запускает интерфейс
Вредоносное ПО классифицируется как RAT (троян удаленного доступа) и связывается с управляющим сервером (C2) по адресу
Помимо удаленного управления, троян осуществляет масштабный сбор данных. Он способен отслеживать местоположение устройства, читать SMS-сообщения, получать доступ к списку контактов и журналам вызовов, а также составлять список всех установленных приложений. Это позволяет группировке Kimsuky формировать детальный профиль жертвы для дальнейшего использования или шантажа.
Специалисты ENKI обнаружили еще два образца вредоносного ПО, используемых в рамках этой активности. Первый маскируется под приложение P2B Airdrop. Второй представляет собой троянизированную версию VPN-сервиса, нацеленную на приложение BYCOM VPN (
Инфраструктура злоумышленников также включает фишинговые сайты, имитирующие популярные южнокорейские платформы Naver и Kakao для сбора учетных данных. Анализ показал, что используемые серверы имеют пересечения с предыдущей кампанией Kimsuky, направленной против пользователей Naver. Текущая версия вредоноса демонстрирует эволюцию тактики группы, включая использование новых нативных функций для дешифрования и более разнообразные сценарии маскировки по сравнению с прошлыми инцидентами.
Изображение носит иллюстративный характер
Атака начинается с получения пользователем сообщения или письма, якобы отправленного службой доставки и содержащего вредоносную ссылку. При переходе по ней специальный PHP-скрипт анализирует строку User-Agent браузера. Если ссылка открывается на настольном компьютере, страница отображает QR-код с предложением отсканировать его Android-устройством для «установки приложения для отслеживания груза». Это позволяет злоумышленникам эффективно перенаправлять пользователей с защищенных десктопов на уязвимые мобильные устройства.
Для успешного внедрения вредоноса Kimsuky применяет методы социальной инженерии. Пользователям демонстрируется сообщение, призывающее установить модуль безопасности для проверки личности, ссылаясь на якобы действующие «международные таможенные правила безопасности». В инструкции утверждается, что приложение является «безопасным официальным выпуском», что побуждает жертв игнорировать стандартные предупреждения Android об установке программ из неизвестных источников.
Технический анализ показал, что загружаемый файл имеет имя
SecDelivery.apk и скачивается с IP-адреса 27.102.137[.]181. В процессе выполнения APK расшифровывает и загружает другой зашифрованный APK, встроенный в его ресурсы. Вредоносная программа запрашивает широкие права доступа, включая чтение и управление внешним хранилищем, доступ к интернету и возможность установки дополнительных пакетов. После этого регистрируется сервис загруженного APK под именем com.delivery.security.MainService. Чтобы усыпить бдительность пользователя, программа запускает интерфейс
AuthActivity, имитирующий экран аутентификации OTP, где требуется ввести номер доставки. В коде обнаружен жестко заданный номер доставки 742938128549, который, вероятно, предоставляется жертве в исходном фишинговом сообщении. После ввода кода открывается WebView, отображающий реальную страницу отслеживания посылок по адресу www.cjlogistics[.]com/ko/tool/parcel/tracking. Вредоносное ПО классифицируется как RAT (троян удаленного доступа) и связывается с управляющим сервером (C2) по адресу
27.102.137[.]181:50005. Функционал DocSwap включает 57 различных команд, позволяющих злоумышленникам полностью контролировать устройство. Хакеры могут регистрировать нажатия клавиш, захватывать аудио, начинать и останавливать запись с камеры, выполнять файловые операции (загрузка и выгрузка), а также запускать системные команды. Помимо удаленного управления, троян осуществляет масштабный сбор данных. Он способен отслеживать местоположение устройства, читать SMS-сообщения, получать доступ к списку контактов и журналам вызовов, а также составлять список всех установленных приложений. Это позволяет группировке Kimsuky формировать детальный профиль жертвы для дальнейшего использования или шантажа.
Специалисты ENKI обнаружили еще два образца вредоносного ПО, используемых в рамках этой активности. Первый маскируется под приложение P2B Airdrop. Второй представляет собой троянизированную версию VPN-сервиса, нацеленную на приложение BYCOM VPN (
com.bycomsolutions.bycomvpn). Оригинальное приложение разработано индийской IT-компанией Bycom Solutions и доступно в Google Play Store, однако хакеры внедрили в пакет вредоносный код и перепаковали его для распространения через сторонние каналы. Инфраструктура злоумышленников также включает фишинговые сайты, имитирующие популярные южнокорейские платформы Naver и Kakao для сбора учетных данных. Анализ показал, что используемые серверы имеют пересечения с предыдущей кампанией Kimsuky, направленной против пользователей Naver. Текущая версия вредоноса демонстрирует эволюцию тактики группы, включая использование новых нативных функций для дешифрования и более разнообразные сценарии маскировки по сравнению с прошлыми инцидентами.
