Logiciel malveillant mobile DocSwap
Il est essentiel de rester vigilant face à l'évolution des menaces mobiles, car les acteurs étatiques continuent de perfectionner leurs techniques d'ingénierie sociale et de diffusion de logiciels malveillants. Une campagne récente attribuée au groupe nord-coréen Kimsuky illustre comment les attaquants combinent hameçonnage, codes QR et applications Android piégées pour compromettre les appareils de leurs victimes.
Table des matières
La dernière campagne Android de Kimsuky dévoilée
Des chercheurs en sécurité ont établi un lien entre Kimsuky et une nouvelle opération de distribution d'une variante de logiciel malveillant Android appelée DocSwap. Cette campagne exploite des sites web d'hameçonnage usurpant l'identité de la société de logistique CJ Logistics, basée à Séoul et anciennement connue sous le nom de CJ Korea Express. Ces fausses pages sont conçues pour paraître fiables et cibler les utilisateurs qui attendent des notifications relatives à leurs expéditions.
Codes QR et fausses alertes comme vecteurs d’infection
Les attaquants utilisent fréquemment des codes QR et des notifications trompeuses pour inciter les utilisateurs à installer des applications malveillantes. Depuis un ordinateur, la page d'hameçonnage affiche un code QR invitant le visiteur à le scanner avec un appareil Android. Cette technique de redirection pousse la victime à installer une application présentée comme un outil de suivi de colis ou de vérification de sécurité.
Pour parachever la supercherie, la page d'hameçonnage exécute un script PHP de suivi qui analyse l'en-tête User-Agent du navigateur. Suite à cette vérification, des messages incitant les utilisateurs à installer un prétendu module de sécurité, soi-disant nécessaire pour se conformer aux « réglementations douanières internationales », s'affichent. Ce discours vise à justifier la demande d'installation et à atténuer les soupçons.
Contourner les avertissements de sécurité Android
Comme Android restreint l'installation d'applications provenant de sources inconnues et affiche des avertissements clairs, les cybercriminels prétendent faussement que l'application est une version officielle et sûre. Cette technique d'ingénierie sociale incite les victimes à ignorer les protections intégrées et à procéder à l'installation malgré les alertes.
Chaîne de distribution et d’exécution d’APK malveillants
Si la victime donne son accord, un fichier APK nommé SecDelivery.apk est téléchargé depuis le serveur à l'adresse 27.102.137.181. Une fois lancé, ce paquet déchiffre un fichier APK chiffré intégré à ses propres ressources. Avant d'activer la charge utile, il vérifie qu'il dispose des autorisations nécessaires pour gérer le stockage externe, accéder à Internet et installer des paquets supplémentaires.
Une fois les autorisations confirmées, le logiciel malveillant enregistre un service nommé com.delivery.security.MainService et lance immédiatement une activité se faisant passer pour une vérification d'identité par code OTP. Cet écran d'authentification factice demande un numéro de livraison, codé en dur dans l'APK sous la forme 742938128549 et probablement fourni aux victimes lors de la première étape d'hameçonnage.
Authentification trompeuse et compromission silencieuse
Une fois le numéro de livraison saisi, l'application génère un code de vérification aléatoire à six chiffres et l'affiche sous forme de notification. L'utilisateur est alors invité à saisir ce code, renforçant ainsi l'illusion d'une procédure de sécurité légitime. Une fois cette étape franchie, l'application ouvre une fenêtre WebView pointant vers la véritable page de suivi de CJ Logistics, confirmant ainsi l'authenticité de l'opération.
Pendant ce temps, le composant malveillant se connecte silencieusement à un serveur de commande et de contrôle contrôlé par un attaquant à l'adresse 27.102.137.181 sur le port 50005. À partir de ce moment, la variante DocSwap nouvellement déployée fonctionne comme un cheval de Troie d'accès à distance complet.
Capacités d’accès à distance et vol de données
Ce logiciel malveillant est capable de recevoir des dizaines de commandes de ses opérateurs, permettant une surveillance et un contrôle étendus de l'appareil infecté. Il peut notamment enregistrer les actions de l'utilisateur, surveiller les communications et extraire des données personnelles sensibles, transformant ainsi le smartphone compromis en un puissant outil d'espionnage.
Applications infectées par un cheval de Troie et distribution étendue
Outre la fausse application de livraison, les chercheurs ont identifié d'autres échantillons malveillants se faisant passer pour une application Airdrop P2B et une version compromise d'un produit VPN légitime, BYCOM VPN. L'application VPN authentique est disponible sur Google Play et est développée par la société indienne Bycom Solutions. L'analyse indique que Kimsuky a injecté du code malveillant dans le fichier APK légitime et l'a reconditionné pour l'utiliser dans cette campagne.
Infrastructure de phishing et collecte d’identifiants
L'enquête menée sur l'infrastructure sous-jacente a révélé l'existence de sites web d'hameçonnage imitant des plateformes sud-coréennes populaires telles que Naver et Kakao. Ces sites sont conçus pour voler les identifiants des utilisateurs et présentent des similitudes avec les opérations précédentes de Kimsuky qui ciblaient spécifiquement les utilisateurs de Naver, ce qui laisse supposer une réutilisation et une extension de l'infrastructure existante.
Évolution de la conception des logiciels malveillants
Bien que le logiciel malveillant déployé lance toujours un service RAT similaire aux outils Kimsuky précédents, il présente une évolution notable. L'utilisation d'une nouvelle fonction de déchiffrement native pour l'APK intégré et l'inclusion de multiples comportements de leurre indiquent un développement continu et une volonté d'échapper à la détection tout en améliorant son efficacité.
