Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Обнаружено вредоносное ПО DocSwap, цель – южнокорейские пользователи

4
2 мин
21 января 2025 года на сайте VirusTotal был обнаружен образец вредоносного ПО, идентифицированный как «Приложение для проверки подлинности документов» и связанный с поддерживаемой Северной Кореей APT-группой. Это приложение, получившее название DocSwap, представляет собой серьезную угрозу для пользователей мобильных устройств в Южной Корее. Вредоносная программа была впервые зарегистрирована 13 декабря 2024 года и обладает расширенными возможностями, включая: Приложение активно использует корейский язык, что подчеркивает его целевую аудиторию. При запуске DocSwap получает разрешения, указанные в файле AndroidManifest.xml, и предлагает пользователям предоставить несанкционированные разрешения. Основные функции включают: Функция кейлоггинга собирает данные о названиях пакетов, значках приложений и текстах, связанных с событиями, передавая эту информацию на сервер C2 и сохраняя ее локально. 21 февраля 2025 года по адресу C2, связанному с вредоносной программой, была обнаружена фишинговая
Оглавление

21 января 2025 года на сайте VirusTotal был обнаружен образец вредоносного ПО, идентифицированный как «Приложение для проверки подлинности документов» и связанный с поддерживаемой Северной Кореей APT-группой. Это приложение, получившее название DocSwap, представляет собой серьезную угрозу для пользователей мобильных устройств в Южной Корее.

Технические характеристики вредоносного ПО

Вредоносная программа была впервые зарегистрирована 13 декабря 2024 года и обладает расширенными возможностями, включая:

  • Расшифровка файла security.db с помощью операции XOR.
  • Динамическая загрузка файла DEX.
  • Кража информации и кейлоггинг через обмен данными с сервером управления (C2).

Приложение активно использует корейский язык, что подчеркивает его целевую аудиторию.

Механизмы работы DocSwap

При запуске DocSwap получает разрешения, указанные в файле AndroidManifest.xml, и предлагает пользователям предоставить несанкционированные разрешения. Основные функции включают:

  • Создание постоянных уведомлений с запросами на специальные возможности для активации кейлоггинга.
  • Работа службы com.security.library.MainService, обеспечивающая непрерывность работы приложения, даже после перезагрузки устройства.
  • Жестко закодированная информация об IP-адресах и портах для связи с сокетами.

Функция кейлоггинга собирает данные о названиях пакетов, значках приложений и текстах, связанных с событиями, передавая эту информацию на сервер C2 и сохраняя ее локально.

Связь с фишингом и рекламацией

21 февраля 2025 года по адресу C2, связанному с вредоносной программой, была обнаружена фишинговая страница, напоминающая CoinSwap. К 27 февраля страница изменилась, на ней появился модифицированный значок Naver и текст «Миллион в порядке!», что указывает на потенциальную связь с группой Kimsuky — известной северокорейской хакерской группой.

Рекомендации для пользователей

Хакеры, стоящие за DocSwap, были обозначены как puNK-004 Центром исследования угроз и разведки S2W. Учитывая природу DocSwap и методы его внедрения, пользователям рекомендуется проявлять осторожность при работе со ссылками или вложениями электронной почты из неопределенных источников, чтобы не стать жертвами таких обманчивых приложений.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Обнаружено вредоносное ПО DocSwap, цель – южнокорейские пользователи".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются