Kimsuky’nin Yeni Tehdidi: DocSwap Android Kötü Amaçlı Yazılımı
Kuzey Koreli siber saldırgan Kimsuky, CJ Logistics adını kullanarak yeni bir Android kötü amaçlı yazılımı olan DocSwap‘ı dağıtma kampanyası başlattı. Bu kampanya, sahte teslimat uygulamaları üzerinden QR kodları ile gerçekleştirilmekte.
QR Kodları ve Phishing Taktikleri
Bu yeni kampanyada Kimsuky, QR kodları ve bildirim açılışları kullanarak kurbanlarını kötü amaçlı yazılımı mobil cihazlarına kurmaları için kandırmakta. Güvenlik şirketi ENKI, “Kötü amaçlı uygulama, gömülü bir şifreli APK’yı şifreliyor ve uzaktan erişim (RAT) yetenekleri sağlayan zararlı bir hizmet başlatıyor,” açıklamasında bulundu.
Android, bilinmeyen kaynaklardan uygulama yüklenmesini engellediğinden, saldırganlar söz konusu uygulamanın güvenli ve resmi bir sürüm olduğunu iddia ederek kurbanları bu uyarıları göz ardı etmeye ikna etmeye çalışıyor.
Phishing ve Smishing Faaliyetleri
Güney Koreli siber güvenlik uzmanları, bu saldırıların paket teslimat hizmeti uygulamaları olarak gizlendiğini belirtiyor. Kötü amaçlı yazılımın, sahte teslimat şirketleri adına gönderilen smishing (SMS phishing) mesajları veya phishing e-postaları aracılığıyla dağıtıldığı düşünülüyor.
Bu saldırının dikkat çekici bir yönü, masaüstü bilgisayardan URL’leri ziyaret eden kullanıcıları, Android cihazlarıyla bir QR kodu taramaya yönlendiren mobil yönlendirmedir. Kullanıcılar, bu QR kodunu taratarak teslimat takip uygulamasını yüklemeye ikna edilmektedir.
Kötü Amaçlı Uygulamanın Çalışma Şekli
Uygulamayı yükleyen kurbanlar için, “SecDelivery.apk” adlı bir APK paketi sunucudan indirilmektedir. Bu APK, gömülü şifreli APK’yı çözerek yeni bir DocSwap sürümünü başlatmadan önce gerekli izinleri almakta.
Uygulama, gerekli izinleri aldıktan sonra, “com.delivery.security.MainService” olarak adlandırılan hizmeti hemen kaydederken, aynı zamanda kullanıcı kimliğini doğrulamak için sahte bir OTP doğrulama ekranı açmaktadır. Kullanıcı, sahte bir teslimat numarası ile kimlik doğrulama işlemini tamamladığında, uygulama arka planda saldırgan kontrolündeki bir sunucuya bağlanır.
Saldırının Daha Kapsamlı Etkileri
Kötü amaçlı yazılım, kullanıcının cihazında çok sayıda işlem gerçekleştirebilir: tuş vuruşlarını kaydetme, ses kaydı yapma, kamera kayıtlarını başlatma/sonlandırma, dosya işlemleri yapma gibi. Ayrıca kullanıcıların konum bilgilerini, SMS mesajlarını, kişiler listelerini ve daha fazlasını toplama yeteneğine sahiptir.
Güvenlik analizleri, Kimsuky’nin başka örneklerini de keşfetti, bunlar arasında bir P2B Airdrop uygulaması ve “BYCOM VPN” adlı sahte bir versiyon bulunmaktadır. Bu durum, saldırganların meşru APK’lara kötü amaçlı işlevler ekleyip yeniden paketleyerek saldırılarda kullanılabileceğini göstermektedir.
Kimsuky’den gelen bu tehditlerin not edilmesi ve kullanıcıları uyarılması, siber güvenliğin kritik bir parçası haline gelmektedir. Kullanıcılar hem QR kodlarına hem de gelen SMS ve e-postalardaki bağlantılara karşı dikkatli olmalıdır.
