Документировано новое распространение Android-вредоносной программы под названием DocSwap, связанное с северокорейскими хакерами. Вирус распространяется через QR-коды на фишинговых сайтах, имитирующих известную южнокорейскую логистическую компанию CJ Logistics.
Новая угроза для Android: особенности DocSwap
Методы распространения и действия
Хакеры используют QR-коды и всплывающие уведомления, чтобы обманом заставить пользователей установить приложение, замаскированное под официальный модуль отслеживания доставки или безопасности. После установки зловредный APK, именуемый SecDelivery.apk, загружает, расшифровывает и активирует встроенный шифрованный APK.
Программа требует доступ к хранилищу, интернету и установке пакетов, а также регистрирует компонент доставки (com.delivery.security.MainService) и запускает активность аутентификации в стиле OTP. После проверки приложение открывает страницу отслеживания CJ Logistics в WebView, одновременно подключаясь к серверу злоумышленников.
Анализ и последствия
По данным южнокорейской компании ENKI, программа DocSwap обладает новыми возможностями, такими как расшифровка внутренних APK и использование обманных действий. Вредоносное ПО позволяет вести логирование нажатий клавиш, захват аудио и видео, а также осуществляет операции с файлами, управление командами, и эксфильтрацию данных.
Исследователи также обнаружили образцы, замаскированные под приложение P2B Airdrop и троян под видом VPN. Фишинговые страницы подделывают корейские платформы Naver и Kakao, чтобы собирать учетные данные пользователей.
