Il gruppo nordcoreano di minacce persistenti avanzate (APT) Kimsuky sta distribuendo una falsa app della Internet and Security Agency (KISA) coreana tramite e-mail dannose. In un recente  tweet, un ricercatore di malware mobile ha condiviso informazioni su un falso vaccino KISA o su un’app di sicurezza per Android camuffata da programma di sicurezza KISA.

Quando il target scarica il file APK impiantato dall’e-mail e installa l’applicazione sul suo dispositivo, il codice dannoso fa il suo lavoro. Viene eseguito in background all’insaputa del bersaglio e raccoglie informazioni sensibili dal suo dispositivo.

Il gruppo Kimsuky è un gruppo di spionaggio informatico con sospetti legami con la Corea del Nord e ben noto per i suoi attacchi di terrorismo informatico dal 2014. Il gruppo, noto anche come Black Banshee,  Thallium e Velvet Chollima, continua a essere coinvolto in molti attacchi di spear phishing . Oltre allo spear phishing, il gruppo utilizza anche attacchi di watering hole per estrarre le informazioni desiderate dalle vittime. Si rivolge sia a individui che a organizzazioni in Corea del Sud, Giappone e Stati Uniti. Vari metodi di spearphishing e ingegneria sociale vengono impiegati per ottenere l’accesso iniziale alle reti di un utente. Nell’attacco di spear phishing, il gruppo invia ai bersagli e-mail contenenti allegati dannosi. Gli script dannosi vengono eseguiti quando l’utente accede all’allegato.

Il gruppo APT ruba le credenziali di web hosting dalle vittime per ospitare i loro script e strumenti dannosi. Queste credenziali rubate vengono successivamente utilizzate per creare sottodomini che rispecchiano siti e servizi legittimi come la posta di Google o Yahoo.

Il gruppo Kimsuky PT personalizza le sue campagne di spear phishing e utilizza approcci progettati individualmente per personalizzare efficacemente i messaggi al target. Alcuni degli argomenti di tendenza comuni di cui il gruppo ha tratto vantaggio includono COVID-19, il programma nucleare e interviste ai media a seconda dell’obiettivo. All’inizio, il gruppo invia e-mail dannose agli obiettivi con l’intenzione di costruire la loro fiducia. Una volta stabilita la fiducia, invia un’e-mail di follow-up con l’allegato o il collegamento dannoso. I ricercatori hanno identificato vari approcci utilizzati dal gruppo. Uno degli approcci è il seguente:

  • Gli aggressori inviano e-mail gentili a tema interviste impersonando reporter, attirando l’obiettivo con una data di intervista programmata per costruire un rapporto.
  • Una volta che il destinatario accetta un’intervista, il gruppo APT invia un documento dannoso in un’e-mail, come collegamento di Google Drive all’interno del corpo dell’e-mail o come allegato.

Altri metodi utilizzati dal gruppo Kimsuky APT sono i seguenti:

  • E-mail di phishing a tema sicurezza
  • Attacchi Watering hole
  • Malware distribuito tramite siti di condivisione torrent.
  • Estensioni del browser

Una volta che l’autore della minaccia ottiene l’accesso al dispositivo/alla rete della vittima, raccoglie le seguenti informazioni:

  • Informazioni sul dispositivo e dettagli sensibili dell’utente dal dispositivo come il rilevamento della posizione e le credenziali di accesso e le password corrispondenti.
  • Connessioni di accesso remoto
  • Keylogger

I dati sensibili raccolti dall’autore della minaccia possono essere utilizzati in modo improprio per eseguire le seguenti azioni:

  • Download/caricamento di file dal dispositivo
  • Lancio di attacchi DDOS
  • Esecuzione/terminazione del processo

Durante la scansione del file scaricato tramite VirusTotal, si è scoperto che era ” Una variante di Android/Spy.Agent.BQS ” rilevata da alcune firme antivirus affidabili, come mostrato nella Figura 1.

Figura   Rilevamenti VirusTotal dell’app

 

Analisi tecnica:
L’applicazione malware utilizzata per la nostra analisi:  fe1a734019f0dc714bd3360e2369853ea97c02f108afe963769318934470967b

Nome del pacchetto:  com.kisa.mobile_security

Attività principale:  com.kisa.mobile_security.activity.LaunchActivity

Nell’eseguire l’analisi statica dell’app è stato scoperto dai ricercatori che il malware è simile al malware Cerberus Banking Trojan, che ruba anche i dati delle vittime per accedere ai loro conti bancari. Le autorizzazioni utilizzate da questo malware sono elencate nella Figura 2.

Figura   Autorizzazione richiesta dall’app

Abbiamo anche eseguito l’analisi dinamica e scoperto che l’app richiede agli utenti di abilitare le autorizzazioni e i servizi richiesti tramite il messaggio pop-up per ottenere l’accesso completo all’app. Una volta che l’utente abilita i permessi, l’applicazione continua a caricarsi e visualizza la schermata principale, come mostrato nelle Figure 3 e 4.

Figura   Pop-up di autorizzazione per leggere file, cronologia chiamate e messaggi dal dispositivo della vittima

Figura   Post della schermata principale delle app che abilitano i permessi

 

Di seguito sono elencati alcuni permessi, servizi e ricevitori delle applicazioni che potrebbero eseguire attività dannose:

permessi

  • android.permission.SEND_SMS
  • android.permission.READ_PHONE_STATE
  • android.permission.RECEIVE_SMS
  • android.permission.INTERNET
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.READ_SMS
  • android.permission.PACKAGE_USAGE_STATS

Servizi:

  • com.kisa.mobile_security.service.MainService

Ricevitori:

  • com.kisa.mobile_security.broadcastreceiver.BootCompletedBroadcastReceiver
  • com.kisa.mobile_security.broadcastreceiver.MyPackageReplacedBroadcastReceiver
  • com.kisa.mobile_security.broadcastreceiver.SmsReceivedBroadcastReceiver
  • com.kisa.mobile_security.broadcastreceiver.InstallBroadcastReceiver

Filtri di intenti per azione:

  • android.intent.action.MAIN
  • android.intent.action.MY_PACKAGE_REPLACED
  • android.intent.action.BOOT_COMPLETED
  • android.intent.action.PACKAGE_INSTALL
  • android.provider.Telephony.SMS_RECEIVED

L’app utilizza le autorizzazioni concesse dagli utenti per eseguire attività sui dispositivi degli utenti come discusso di seguito:

  1. Monitoraggio della posizione dell’utente dal dispositivo compromesso.

Figura   Tiene traccia dell’ultima posizione nota

  1. Aggiunta di un overlay ad altre app utilizzando Windows Manager utilizzando uno snippet di codice mostrato di seguito.

Figura   Aggiunge Overlay alle altre app

  1. Invio di messaggi tramite SMS Manager creando un percorso di directory file temporaneo.

Figura   Invia SMS tramite SMS Manager

  1. Lettura dei file dei sistemi operativi dalla macchina vittima ed esecuzione del codice nell’elenco/eliminazione dei file dal dispositivo.

Figura   Elenca ed elimina i file dal dispositivo

  1. Tracciamento del servizio/ricevitore registrato dopo il riavvio del dispositivo.

Figura   Registra il servizio/ricevitore al riavvio del telefono

  1.  Rilevamento e memorizzazione della lingua del sistema operativo e dei dettagli del dispositivo.

Figura  10  Raccoglie l’ID del dispositivo e i dettagli dal dispositivo delle vittime

  1. Raccolta e aggiornamento delle informazioni sensibili sul server C2.

Figura  11  Raccoglie i dati e li memorizza in una stringa

Figura  12  Memorizza le informazioni sensibili in background all’insaputa dell’utente crittografando le stringhe

  1. Leggere e memorizzare i dati SMS dal dispositivo della vittima e successivamente caricarli sul collegamento C2.

Figura  13  Raccoglie i dati SMS dal dispositivo dell’utente

Abbiamo osservato che l’applicazione ha più stringhe crittografate. Questi sono stati crittografati utilizzando il meccanismo XOR seguendo il metodo UTF-8, come mostrato nella Figura 14.

Figura  14  Tecnica di crittografia

La ricerca ha anche indicato che la tecnica di crittografia di cui sopra è stata implementata in una serie di classi e metodi.

Figura  15  Stringhe crittografate utilizzando la tecnica di crittografia

Decrittografando le stringhe crittografate, siamo riusciti a trovare il collegamento C2 attraverso il quale l’applicazione comunica e carica i dati raccolti sul server.

Di seguito i link individuati attraverso i quali l’applicazione comunica:

  • hxxp://app.at-me.ml/index.php?m=d&p1=56d92eaa24f68947
  • hxxp://app.at-me.ml/index.php?m=b&p1=56d92eaa24f68947&p2=a

CC:  http[:]//app.at-me[.]ml/

Raccomandazioni di sicurezza:

  1. Verifica i privilegi e le autorizzazioni richiesti dalle app prima di concedere l’accesso.
  1. È sempre consigliabile installare applicazioni mobili solo da market di applicazioni affidabili.
  1. Mantieni aggiornato il tuo software antivirus per rilevare e prevenire le infezioni da malware.
  1. Mantieni aggiornati il ​​tuo sistema e le tue applicazioni.
  1. Utilizza password complesse e abilita l’autenticazione a due fattori durante gli accessi.
  1. Le persone preoccupate per l’esposizione delle loro credenziali rubate nel darkweb possono registrarsi su  AmiBreached.com  per accertare la loro esposizione.

Tecniche MITRE ATT&CK®- per dispositivi mobili

tattica ID tecnica Nome della tecnica
Evasione della difesa T1406 1. File o informazioni offuscati
Accesso alle credenziali T1412 1. Cattura messaggio SMS
Scoperta T1430  T1426 1. Tracciamento della posizione 2. Rilevamento delle informazioni di sistema
Collezione T1430  T1412 1. Tracciamento della posizione 2. Cattura SMS
Comando e controllo T1573  T1071  T1571 1. Canale crittografato 2. Protocollo a livello di applicazione 3. Porta non standard
Impatto T1447  T1448 1. Elimina i dati del dispositivo 2. Frodi nella fatturazione con l’operatore

Indicatori di compromesso (IOC):

CIO Tipo CIO
fe1a734019f0dc714bd3360e2369853ea97c02f108afe963769318934470967b SHA256
hxxp://app.at-me.ml/index.php URL interessante
hxxp://app.at-me.ml/index.php?m=c&p1=3666e8b2182d8249 URL interessante
104.128.239[.]70 Indirizzo IP (IP di comunicazione)
/data/app/com.kisa.mobile_security-Z9mIUcgYoUAN6N3Hbf2nnQ==/base.apk Percorso file eliminato.

 

Fonte: https://cybleinc.com/2021/06/03/kimsuky-apt-group-distributes-fake-security-app-disguised-as-kisa-security-program/ 

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: