複数ライセンス割引見積
脅威データベース モバイルマルウェア DocSwapモバイルマルウェア

DocSwapモバイルマルウェア

モバイルマルウェアMezoまで
翻訳内容:

国家とつながりのある攻撃者がソーシャルエンジニアリングやマルウェア配信の手法を洗練させ続けているため、進化するモバイル脅威への警戒を怠らないことが不可欠です。北朝鮮のグループ「Kimsuky」によるものとされる最近の攻撃キャンペーンは、攻撃者がフィッシング、QRコード、トロイの木馬化されたAndroidアプリを巧みに組み合わせて被害者のデバイスに侵入していることを浮き彫りにしています。

キムスキーの最新Androidキャンペーンが発覚

セキュリティ研究者は、KimsukyがDocSwapと呼ばれるAndroidマルウェアの新たな亜種を拡散する新たな活動に関与していると指摘しています。この活動は、ソウルに拠点を置く有名物流会社CJ Logistics(旧CJ Korea Express)を装ったフィッシングサイトを悪用しています。これらの偽サイトは、信頼できるサイトを装い、配送関連の通知を期待するユーザーを狙っています。

QRコードと偽アラートが感染経路となる

攻撃者は、QRコードや偽の通知ポップアップを巧みに利用して、ユーザーを悪意のあるアプリケーションのインストールに誘導します。デスクトップシステムからアクセスすると、フィッシングページにQRコードが表示され、Androidデバイスでスキャンするよう促されます。このリダイレクト手法により、ユーザーは配送追跡アプリやセキュリティ検証アプリを装ったアプリのインストールへと誘導されます。

フィッシングページは、ブラウザのユーザーエージェントを検査する追跡用PHPスクリプトを実行し、欺瞞をさらに深めます。この検査結果に基づき、ユーザーには「国際税関セキュリティポリシー」に準拠するために必要なセキュリティモジュールと称するインストールを促すメッセージが表示されます。この説明は、インストール要求を正当化し、ユーザーの疑念を薄めることを目的としています。

Androidのセキュリティ警告を回避する

Androidは不明なソースからのインストールを制限し、目立つ警告を表示するため、脅威アクターはアプリが公式リリースで安全であると偽って主張します。このソーシャルエンジニアリングの戦術は、被害者に組み込みの保護機能を無視させ、警告にもかかわらずインストールを続行するよう圧力をかけます。

悪意のあるAPKの配信と実行チェーン

被害者が同意すると、27.102.137.181 のサーバーから SecDelivery.apk という APK がダウンロードされます。起動すると、このパッケージは自身のリソース内に埋め込まれた暗号化された APK を復号します。ペイロードを起動する前に、外部ストレージの管理、インターネットへのアクセス、追加パッケージのインストールに必要な権限を取得していることを確認します。

権限が確認されると、マルウェアはcom.delivery.security.MainServiceというサービスを登録し、OTPベースの本人確認を装ったアクティビティを直ちに開始します。この偽の認証画面では配送番号の入力が求められますが、この配送番号はAPKに742938128549としてハードコードされており、フィッシングの初期段階で被害者に提供された可能性があります。

偽装認証とサイレントコンプロマイズ

配送番号を入力すると、アプリはランダムな6桁の確認コードを生成し、通知として表示します。その後、ユーザーにこのコードを入力するよう促すことで、正規のセキュリティプロセスが実行されているという錯覚を強めます。入力が完了すると、アプリはCJ Logisticsの正規の追跡ページへのリンクを持つWebViewを開き、アクティビティが本物であるかのように見せかけます。

一方、悪意のあるコンポーネントは、攻撃者が制御するコマンド アンド コントロール サーバー (27.102.137.181、ポート 50005) に密かに接続します。この時点で、新たに展開された DocSwap の亜種は、フル機能を備えたリモート アクセス型トロイの木馬として動作します。

リモートアクセス機能とデータ盗難

このマルウェアは、攻撃者から数十ものコマンドを受信することができ、感染したデバイスを広範囲に監視・制御することが可能です。その機能には、ユーザー入力のログ記録、通信の監視、機密性の高い個人情報の抽出などがあり、感染したスマートフォンを強力なスパイツールへと変貌させます。

トロイの木馬化されたアプリと配布の拡大

偽の配送アプリに加え、研究者らはP2Bエアドロップアプリを装った悪意のあるサンプルと、正規VPN製品BYCOM VPNの侵害版を特定しました。正規のVPNアプリはGoogle Playで入手可能で、インド企業Bycom Solutionsによって開発されています。分析によると、Kimsukyは正規のAPKに悪意のあるコードを注入し、キャンペーンで使用するために再パッケージ化しました。

フィッシングインフラと認証情報収集

支援インフラの調査により、NAVERやKakaoといった韓国の人気プラットフォームを模倣したフィッシングサイトが発見されました。これらのサイトはユーザーの認証情報を窃取することを目的としており、NAVERユーザーを特に標的とした以前のKimsukyの活動と重複する点が見られ、既存のインフラの再利用と拡張が示唆されています。

進化するマルウェア設計

展開されたマルウェアは、以前のKimsukyツールと同様のRATサービスを起動しますが、顕著な進化が見られます。埋め込まれたAPKに新しいネイティブ復号機能を使用し、複数のデコイ動作を組み込んでいることは、継続的な開発と、検出を回避しながら効果を高めようとする取り組みを示しています。

トレンド

Webmotion.co.in

不正なウェブサイト, アドウェア, ブラウザハイジャッカー
欺瞞的なサイトや強引な広告スキームが進化を続ける中、ウェブを閲覧する際には常に注意を払うことが不可欠です。脅威アクターは、正規の機能を模倣したページを日常的に作成し、ユーザーを危険な行動に誘い込み、望ましくないコンテンツを密かにプッシュします。Webmotion.co.in はそのようなドメインの一つであり、訪問者を操り、有害なコンテンツにさらすために作成された信頼できないページです。 侵入...

EtherRATマルウェア

リモート管理ツール, 高度な持続的脅威 (APT)
最近発見された北朝鮮の工作員に関連する脅威キャンペーンは、React2Shell(RSC)の重大な脆弱性を悪用し、これまで知られていないリモートアクセス型トロイの木馬「EtherRAT」を展開していると考えられています。このマルウェアは、Ethereumスマートコントラクトをコマンドアンドコントロール(C2)ワークフローに組み込み、Linuxに複数の永続化レイヤーをインストールし、展開時に独...

News-hedebe.cc

アドウェア
インターネットは便利な機能に満ち溢れていますが、同時に、無防備なユーザーを狙った欺瞞的なウェブサイトも存在します。そのような不正なウェブサイトの一つであるNews-hedebe.ccは、サイバーセキュリティ研究者によって、煩わしいブラウザ通知や潜在的に有害なリダイレクトの発信源として特定されています。詐欺、マルウェア、プライバシー侵害の被害に遭わないためには、ブラウジング中は常に注意を払い、...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
47,839
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Discord 灰色の画面で立ち往生

問題
37,838
時々、Discordアプリケーションを使用している間、ユーザーは灰色の画面で立ち往生するかもしれません。この問題は、アプリケーションのストリーミング中または単にロード中に発生する可能性があります。これが発生し、それを修正する方法がわからない場合は、次の解決策を試してください。 画面モードの切り替え 原因が視覚的な不具合であり、それ以上深刻なものがない場合は、全画面モードや小画面オプションを有...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
36,449
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...