Kimsuky Hackers επιτίθενται σε χρήστες μέσω Weaponized QR Code για να παραδώσουν κακόβουλη εφαρμογή για κινητά

Η ομάδα απειλών Kimsuky που συνδέεται με το κράτος της Βόρειας Κορέας έχει επεκτείνει τις μεθόδους επίθεσης διανέμοντας ένα επικίνδυνο κακόβουλο λογισμικό για κινητά μέσω οπλισμένων κωδικών QR, στοχεύοντας χρήστες μέσω εξελιγμένων ιστότοπων phishing που μιμούνται τις υπηρεσίες παράδοσης πακέτων.

Οι ερευνητές ασφαλείας ανακάλυψαν την κακόβουλη εκστρατεία τον Σεπτέμβριο του 2025, όταν τα θύματα έλαβαν σπασμωδικά μηνύματα με συνδέσμους που τα ανακατευθύνουν σε ψεύτικους ιστότοπους παρακολούθησης παράδοσης που φιλοξενούν κωδικούς QR που έχουν σχεδιαστεί για να ξεγελάσουν τους χρήστες να κατεβάσουν μολυσμένες εφαρμογές Android στα smartphone τους.

Το κακόβουλο λογισμικό αντιπροσωπεύει την πιο πρόσφατη έκδοση του “DOCSWAP”, μιας απειλής που τεκμηριώθηκε για πρώτη φορά νωρίτερα το 2025.

Αυτή η νέα παραλλαγή παρουσιάζει αρκετές βελτιώσεις σε σχέση με προηγούμενες εκδόσεις, συμπεριλαμβανομένης μιας νέας εγγενούς λειτουργίας αποκρυπτογράφησης και πιο ποικίλων συμπεριφορών δόλωμα.

Αναλυτές Enki αναγνωρισθείς η κακόβουλη εφαρμογή που διανέμεται από διακομιστή εντολών και ελέγχου που βρίσκεται στο 27.102.137[.]181, όπου υποδύθηκε νόμιμες υπηρεσίες όπως η CJ Logistics, πλατφόρμες δημοπρασιών, εφαρμογές VPN και συστήματα ελέγχου ταυτότητας airdrop κρυπτονομισμάτων για να εξαπατήσει τα θύματα.

Όταν οι χρήστες έχουν πρόσβαση στους συνδέσμους phishing από έναν υπολογιστή, βλέπουν ένα μήνυμα που αναφέρει “Για λόγους ασφαλείας, δεν μπορείτε να δείτε αυτήν τη σελίδα από υπολογιστή” μαζί με έναν κωδικό QR.

Η σάρωση αυτού του κωδικού με μια κινητή συσκευή ξεκινά τη λήψη μιας εφαρμογής ασφαλείας που φαίνεται να είναι. Ωστόσο, η πρόσβαση στον ίδιο σύνδεσμο από μια συσκευή Android εμφανίζει απευθείας ψεύτικες οθόνες σάρωσης ασφαλείας και προτρέπει τους χρήστες να εγκαταστήσουν μια «εφαρμογή ασφαλείας» για να ολοκληρώσουν τον έλεγχο ταυτότητας.

Η κακόβουλη εφαρμογή χρησιμοποιεί URL με κωδικοποίηση Base64 και λογική από την πλευρά του διακομιστή που εξυπηρετεί διαφορετικό περιεχόμενο με βάση τον τύπο συσκευής του χρήστη, καθιστώντας τον εντοπισμό πιο δύσκολο.

Μόλις εγκατασταθεί, το κακόβουλο λογισμικό λειτουργεί σε πολλαπλά στάδια. Η εφαρμογή αρχικά ζητά εκτεταμένες άδειες, όπως πρόσβαση σε αρχεία, τηλέφωνο, SMS και δεδομένα τοποθεσίας.

Το ληφθέν αρχείο APK, που ονομάζεται “SecDelivery.apk”, περιέχει ένα κρυπτογραφημένο APK που είναι αποθηκευμένο ως “security.dat” στους πόρους του. Σε αντίθεση με προηγούμενες εκδόσεις που χρησιμοποιούσαν αποκρυπτογράφηση XOR βασισμένη σε Java, αυτή η παραλλαγή χρησιμοποιεί μια εγγενή βιβλιοθήκη που ονομάζεται “libnative-lib.so” για την αποκρυπτογράφηση του ενσωματωμένου APK.

Η διαδικασία αποκρυπτογράφησης περιλαμβάνει τρία βήματα: αντιστροφή bit κάθε τιμής byte, εφαρμογή αριστερής περιστροφής 5 bit και εκτέλεση λειτουργιών XOR με ένα κλειδί 4 byte (541161FE σε hex).

Μηχανισμός μόλυνσης και επιμονή

Το κακόβουλο λογισμικό αποκαθιστά την επιμονή μέσω μιας εξελιγμένης διαδικασίας εγγραφής υπηρεσίας.

Μετά την αποκρυπτογράφηση, η εφαρμογή εκκινεί το SplashActivity, το οποίο φορτώνει τους κρυπτογραφημένους πόρους, ζητά τα απαραίτητα δικαιώματα και καταχωρεί μια κακόβουλη υπηρεσία που ονομάζεται MainService.

Για να διατηρήσει τη συνεχή λειτουργία, το κακόβουλο λογισμικό διαμορφώνει φίλτρα πρόθεσης που εκτελούν αυτόματα το MainService όταν η συσκευή επανεκκινείται ή συνδέεται στο ρεύμα.

Το αρχείο AndroidManifest.xml ορίζει αυτούς τους κανόνες ετικέτας ως “android.intent.action.BOOT_COMPLETED”, “android.intent.action.ACTION_POWER_CONNECTED” και “android.intent.action.ACTION_POWER_DISCONNECTED”.

Η εφαρμογή εμφανίζει μια πειστική ψεύτικη οθόνη ελέγχου ταυτότητας που ζητά από τους χρήστες να εισαγάγουν έναν αριθμό παρακολούθησης παράδοσης και έναν κωδικό επαλήθευσης. Ο κωδικοποιημένος αριθμός παράδοσης «742938128549» περιλαμβάνεται στο αρχικό μήνυμα ηλεκτρονικού ψαρέματος.

Μετά τον έλεγχο ταυτότητας, η εφαρμογή εμφανίζει τον επίσημο ιστότοπο παρακολούθησης παράδοσης μέσω μιας προβολής ιστού, κάνοντας τους χρήστες να πιστεύουν ότι έχουν εγκαταστήσει μια νόμιμη εφαρμογή ενώ η κακόβουλη υπηρεσία λειτουργεί σιωπηλά στο παρασκήνιο.

Το ενσωματωμένο RAT υποστηρίζει 57 εντολές που επιτρέπουν τον πλήρη έλεγχο της συσκευής. Επικοινωνεί με τον διακομιστή εντολών και ελέγχου χρησιμοποιώντας μια μορφή που περιλαμβάνει κεφαλίδες μήκους, μηδενικά byte και ωφέλιμα φορτία συμπιεσμένα με Gzip.

Η λογική ανάλυσης εντολών χρησιμοποιεί το “10249” ως οριοθέτη, επιτρέποντας στο κακόβουλο λογισμικό να εκτελεί ενέργειες όπως εγγραφή ήχου και βίντεο, διαχείριση αρχείων, παρακολούθηση τοποθεσίας, συλλογή αρχείου καταγραφής κλήσεων, κλοπή λίστας επαφών, υποκλοπή SMS, απομακρυσμένη εκτέλεση εντολών και ζωντανή καταγραφή πλήκτρων.

Το keylogger λειτουργεί μέσω της Υπηρεσίας Προσβασιμότητας του Android, καταγράφοντας εικονίδια εφαρμογών, ονόματα πακέτων, κείμενο συμβάντων και χρονικές σημάνσεις, τα οποία στη συνέχεια συμπιέζονται και κωδικοποιούνται με Base64 πριν από τη μετάδοση.

// Korean comment: "Leave log when button is clicked"
btn.addEventListener("click", () => {
    fetch("downcat.php", {
        method: "POST",
        headers: { "Content-Type": "application/json" },
        body: JSON.stringify({
            time: new Date().toISOString(),
            url: decodedUrl
        })
    }).catch(err => console.error("Log transmission failed:", err));
});

Οι ερευνητές ανακάλυψαν συνδέσεις μεταξύ αυτής της εκστρατείας και των προηγούμενων επιχειρήσεων Kimsuky μέσω κοινής υποδομής, συμπεριλαμβανομένου του χαρακτηριστικού “Million OK !!!!” συμβολοσειρά που βρίσκεται στον ριζικό κατάλογο των διακομιστών εντολών και ελέγχου.

Τα σχόλια στην κορεατική γλώσσα σε όλο τον κώδικα HTML και τα μηνύματα σφάλματος παρέχουν πρόσθετα στοιχεία που συνδέουν τη δραστηριότητα με τους Βορειοκορεατικούς παράγοντες απειλών.

Η καμπάνια καταδεικνύει τη συνεχή εξέλιξη της Kimsuky στις απειλές για κινητά, στοχεύοντας smartphone που περιέχουν ευαίσθητες οικονομικές και προσωπικές πληροφορίες.