Ένα νέο κύμα κακόβουλων εφαρμογών Android που υποδύονται μια πολύ γνωστή υπηρεσία παράδοσης στην Κορέα έχει εμφανιστεί, με προηγμένες τεχνικές συσκότισης που υποστηρίζονται από τεχνητή νοημοσύνη.
Αυτές οι εφαρμογές λειτουργούν για να παρακάμψουν τις παραδοσιακές μεθόδους ανίχνευσης ιών ενώ εξάγουν ευαίσθητες πληροφορίες χρήστη.
Οι παράγοντες απειλών πίσω από αυτήν την εκστρατεία έχουν επιδείξει περίπλοκη γνώση των τρωτών σημείων ασφάλειας των κινητών, συνδυάζοντας πολλαπλές στρατηγικές αποφυγής για να διατηρήσουν τη λειτουργία τους απαρατήρητη.
Η καμπάνια κακόβουλου λογισμικού βασίζεται σε έναν έξυπνο μηχανισμό παράδοσης που μεταμφιέζεται ως μια νόμιμη εφαρμογή παρακολούθησης πακέτων.
Όταν οι χρήστες χορηγούν τις απαραίτητες άδειες, η εφαρμογή εμφανίζει μια διεπαφή που μοιάζει με την πραγματική υπηρεσία παράδοσης συνδέοντας με αυθεντικούς ιστότοπους παρακολούθησης χρησιμοποιώντας αριθμούς παρακολούθησης που δημιουργούνται τυχαία.
.webp.jpeg)
Αυτή η προσέγγιση κοινωνικής μηχανικής δημιουργεί εμπιστοσύνη ενώ η εφαρμογή εκτελεί κακόβουλες δραστηριότητες στο παρασκήνιο, καθιστώντας την ιδιαίτερα επικίνδυνη για ανυποψίαστα θύματα.
Αναλυτές ασφαλείας της ASEC αναγνωρισθείς αυτό το κακόβουλο λογισμικό μετά τον εντοπισμό επαναλαμβανόμενων μοτίβων διανομής σε διάφορα κανάλια.
Η έρευνα αποκάλυψε ότι οι φορείς απειλών χρησιμοποίησαν τεχνικές συσκότισης ενισχυμένες με AI για να συγκαλύψουν τη λειτουργικότητα της εφαρμογής και να κάνουν την αντίστροφη μηχανική σημαντικά πιο δύσκολη για τους ερευνητές ασφάλειας.
Ανίχνευση αποφυγής μέσω ευφυούς συσκότισης
Η τεχνική πολυπλοκότητα αυτών των εφαρμογών έγκειται στην εφαρμογή της συσκότισης. Οι προγραμματιστές εφάρμοσαν τη συσκότιση ProGuard με τεχνητή νοημοσύνη, μετατρέποντας όλα τα ονόματα κλάσεων, τα αναγνωριστικά συναρτήσεων και τα ονόματα μεταβλητών σε κορεατικές συμβολοσειρές κειμένου οκτώ χαρακτήρων χωρίς νόημα.
Αυτή η προσέγγιση διαφέρει από την τυπική συσκότιση επειδή οι τυχαίοι κορεατικοί χαρακτήρες καθιστούν την ανίχνευση βάσει μοτίβων σημαντικά δυσκολότερη για αυτοματοποιημένα εργαλεία ασφαλείας.
.webp.jpeg)
Τα ονόματα των πόρων παρέμειναν αμετάβλητα, υποδεικνύοντας μια στρατηγική επιλεκτικής συσκότισης που έχει σχεδιαστεί ειδικά για την απόκρυψη της βασικής λειτουργικότητας της εφαρμογής διατηρώντας παράλληλα αρκετή δομική ακεραιότητα ώστε να λειτουργεί κανονικά.
Οι ερευνητές ασφαλείας ανακάλυψαν ότι μετά τη συλλογή πληροφοριών από μολυσμένες συσκευές, το κακόβουλο λογισμικό διεισδύει δεδομένα μέσω παραβιασμένων νόμιμων ιστοσελίδων που επαναχρησιμοποιούνται ως διακομιστές εντολών και ελέγχου.
Οι φορείς απειλών κωδικοποιούσαν διευθύνσεις διακομιστών C2 σε ιστολόγια που φιλοξενούνται σε κορεατικές πύλες, φορτώνοντάς τις δυναμικά κατά την εκκίνηση της εφαρμογής.
Αυτή η τεχνική δημιουργεί ένα πρόσθετο εμπόδιο ανίχνευσης επειδή οι πραγματικοί κακόβουλοι διακομιστές εμφανίζονται ως καλοήθης διαδικτυακή κίνηση στα συστήματα παρακολούθησης δικτύου, αποκρύπτοντας ουσιαστικά τη λειτουργία κλοπής δεδομένων από την υποδομή ασφαλείας.
Τα δείγματα που προσδιορίστηκαν περιελάμβαναν πέντε επιβεβαιωμένους κατακερματισμούς MD5, με συσχετισμένες διευθύνσεις URL που παραπέμπουν σε παραβιασμένους τομείς της Κορέας που χρησιμοποιούνται για την εξαγωγή δεδομένων.
Οι επαγγελματίες ασφάλειας θα πρέπει να δώσουν προτεραιότητα στον εντοπισμό και τον αποκλεισμό αυτών των δειγμάτων στα δίκτυά τους, ενώ εφαρμόζουν αυστηρότερους ελέγχους αδειών εφαρμογών για εφαρμογές υπηρεσιών παράδοσης.
Related Posts
Το πρόγραμμα περιήγησης Tor 15.0.1 κυκλοφόρησε με επιδιόρθωση για πολλαπλά τρωτά σημεία ασφαλείας
Το νέο KomeX Android RAT διαφημίζεται σε φόρουμ χάκερ με πολλαπλές επιλογές συνδρομής
Το μη αφαιρούμενο λογισμικό κατασκοπείας σε συσκευές Samsung διατίθεται προεγκατεστημένο σε συσκευές της σειράς Galaxy
