南韓資安公司ENKI WhiteHat研究人員公開,疑似與北韓駭客組織Kimsuky關聯的一波Android惡意程式散布行動,近期結合網釣網站與QR Code導流,誘導使用者在手機端下載並安裝偽裝成物流查件或安全App的Android安裝包,並啟動具遠端存取能力的惡意服務,屬於DocSwap木馬家族的最新變種。
研究人員說明,攻擊者會架設模仿包裹配送服務的釣魚頁面,搭配通知彈窗或提示文字引導受害者操作。當使用者以電腦開啟連結時,頁面會宣稱因安全原因無法在電腦查詢,並設計以QR Code引導受害者改用手機掃描開啟。
伺服器會依瀏覽器的User-Agent等資訊回應不同內容,要是在Android環境開啟,畫面便會出現偽裝的安全檢查流程與安裝按鈕,引導下載惡意安裝包。由於Android對未知來源安裝通常會顯示警示,報告指出攻擊者會宣稱這是安全且正式的版本,試圖讓使用者忽略提示並完成安裝。
受害者下載看似物流通知應用程式,實際是載入器,啟動後會從自身資源取出被加密的內嵌安裝包,改用原生程式庫解密與載入,最後註冊常駐服務,讓手機在背景運作DocSwap遠端存取木馬。研究人員指出,該服務具備蒐集資訊與遠端操控的特徵,並可能濫用Android無障礙服務進行鍵盤側錄等行為。為降低警覺,惡意程式會顯示一次性驗證碼之類的驗證介面,流程後再導向真實的物流查詢頁面,讓受害者誤以為只是一般查詢操作。
除物流偽裝外,研究團隊也看到相近手法被包裝成拍賣物流驗證、虛擬私人網路或加密貨幣空投驗證等不同主題,並在部分伺服器上同時存在與入口網站或通訊服務帳號登入相關的網釣頁面,顯示攻擊者可能同步蒐集帳密資訊。
研究人員掌握多項可相互佐證的跡象,包含指揮控制與網釣基礎設施的重疊,以及網頁程式碼中出現韓文註解與錯誤訊息等,據此研判活動與Kimsuky存在高度關聯。至於最初連結如何送達受害者,研究人員未能給出定論,但研判可能透過簡訊網釣或釣魚郵件投遞。
研究人員建議,要是收到要求掃描QR Code或引導安裝應用程式的配送通知,應改以官方應用程式或手動輸入官網網址查詢,避免直接點擊不明連結。同時也應留意App索取的權限是否合理,如果出現與物流查件無關的檔案存取、簡訊或電話等權限要求,便需提高警覺。
熱門新聞
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31
2025-12-31