概述:南韓資安公司 ENKI WhiteHat 發現一波疑似與北韓駭客組織 Kimsuky 關聯的 Android 惡意程式散布行動,攻擊透過網釣頁面搭配 QR Code 導流,誘使用戶下載偽裝成物流查件或安全等 App 的安裝包,並在裝置上啟動具遠端存取能力的 DocSwap 木馬變種。(enki.co.kr)
攻擊流程:攻擊者架設模仿包裹配送等釣魚頁面,若受害者以電腦開啟,頁面會顯示 QR Code 或提示改以手機開啟;伺服器會根據 User-Agent 回傳不同內容,在 Android 裝置上顯示偽造安全檢查與安裝按鈕,引導下載惡意 APK。為繞過 Android 的未知來源警告,攻擊會稱該 App 為正式或安全版本以降低使用者警覺。(enki.co.kr)
惡意程式特性:所下載的「App」實為載入器,會從自身資源取出並解密內嵌的 APK,使用原生函式載入並註冊常駐服務,最終啟動屬於 DocSwap 家族的遠端存取木馬(RAT),具備資料蒐集與遠端操控功能,並可能濫用 Android 無障礙服務進行鍵盤側錄等行為。(enki.co.kr)
攻擊變種與基礎設施:研究人員發現多個變種以不同主題(拍賣物流驗證、VPN、加密貨幣空投驗證等)出現,部分伺服器同時托管帳號/通訊服務的網釣頁面,並與已知 Kimsuky 的釣魚基礎設施共享跡象(包含韓文註解、相同伺服器指標與「Million OK !!!!」字樣等)。(enki.co.kr)
防護建議:若收到要求掃描 QR Code 或安裝應用的配送通知,建議改以官方 App 或手動輸入官網網址查詢;切勿直接點擊不明連結;留意 App 所要求的權限是否與宣稱功能相符,若出現與物流無關的檔案、簡訊或電話等權限即提高警覺。(ithome.com.tw)