Siber güvenlik manzarası, Docswap kötü amaçlı yazılımının ortaya çıkmasıyla ilgili yeni bir tehdide tanık oldu ve bu da kullanıcıları Android cihazlarına yüklemeye aldatma için kendisini “belge görüntüleme kimlik doğrulama uygulaması” olarak gizliyor.
Bu sofistike kötü amaçlı yazılımın, yakın tarihli bir raporda S2W Tehdit İstihbarat Merkezi tarafından açıklandığı gibi, Kuzey Koreli destekli ileri kalıcı tehdit (APT) grubuna bağlı olduğundan şüpheleniliyor.
Kötü amaçlı yazılım analizi ve özellikleri
Kötü niyetli uygulama, paketinde bir “Security.db” dosyasını şifresini çözmek için bir XOR işlemi kullanır.
Bir DEX dosyasını dinamik olarak yükler ve kötü amaçlı komutları yürütmek için bir komut ve kontrol (C2) sunucusu ile iletişim kurar.
Bu komutlar, anahtarlık ve kamera ve mikrofon kaydı gibi çeşitli bilgi hırsızlığı ile dosya indirme ve silme içerir.
Uygulamanın adı ve Koreli dil dizelerinin varlığı, öncelikle Güney Kore’deki mobil kullanıcıları hedeflediğini göstermektedir.
Bununla birlikte, yetenekleri dünya çapında Android kullanıcıları için bir tehdit oluşturmaktadır.
İlişkilendirme ve tespit
Başlangıçta keşfedildiğinde, Docswap ile ilişkili C2 altyapısı, Coinswap olarak maskelenen bir kimlik avı sayfası içeriyordu.
27 Şubat 2025’e kadar, C2 adresine erişmek, bir Naver Favicon ve “Milyon Tamam !!!!” mesajını ortaya çıkardı ve bilinen bir Kuzey Koreli destekli tehdit oyuncusu olan Kimuky Grubu ile olası bir bağlantıyı ima etti.
Rapora göre, S2W Tehdit Araştırma ve İstihbarat Merkezi, Docswap’ı “Punk-004” olarak kullanan tehdit aktörlerini, Kuzey Kore’ye bağlı kimliği belirsiz tehdit grupları için izleme çabalarının bir parçası olarak belirledi.
Docswap’a karşı korumak için, kullanıcılar bilinmeyen kaynaklardan uygulamalar yüklerken dikkatli olmalı ve şüpheli bağlantılar veya e -posta ekleri yürütmekten kaçınmalıdır.
Kötü amaçlı yazılımların erişilebilirlik hizmetleri ve kötü amaçlı komutlar için C2 sunucusu ile iletişimi yoluyla anahtarlama yapma yeteneği, sağlam güvenlik önlemlerine duyulan ihtiyacın altını çizmektedir.
Kuruluşların ve bireylerin uyanık kalmaları ve bu tür gelişmiş tehditleri belirleyebilen tehdit algılama sistemlerini uygulamaları tavsiye edilir.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.