Bài viết từ GBHackers thảo luận về phần mềm độc hại mới được phát hiện, DocSwap, liên kết với một nhóm mối đe dọa tiên tiến (APT) được hỗ trợ bởi Bắc Triều Tiên. Dưới đây là những điểm chính từ bài viết:
1. Giả dạng và Chức năng:
- DocSwap giả dạng như một “문서열람 인증 앱” (Ứng dụng Xác thực Xem Tài liệu) để nhắm đến người dùng thiết bị di động, đặc biệt ở Hàn Quốc.
- Phần mềm độc hại giải mã một tệp “security.db” nội bộ bằng cách sử dụng phép toán XOR và tải động một tệp DEX, dẫn đến các hoạt động độc hại như ghi lại phím và đánh cắp thông tin.
2. Kết nối Lừa đảo:
- Ban đầu liên kết với một trang lừa đảo CoinSwap, sau đó hiển thị biểu tượng favicon của Naver và một thông điệp kỳ lạ, gợi ý về một mối liên hệ khả thi với nhóm Kimsuky.
3. Tính bền vững và Quyền truy cập:
- Phần mềm độc hại yêu cầu người dùng cấp nhiều quyền khác nhau, bao gồm quyền ghi lại phím thông qua các dịch vụ truy cập.
- Nó duy trì tính bền vững bằng cách tạo thông báo để yêu cầu những quyền này và sử dụng API StartForeground để giữ cho nó hoạt động ngay cả sau khi khởi động lại hệ thống.
4. Ghi nhận:
- Các diễn viên đe dọa đứng sau phần mềm độc hại này đã được xác định là một phần của nhóm puNK, cụ thể là puNK-004, theo một báo cáo của Nhà nghiên cứu An ninh trên Medium.
5. Khuyến nghị:
- Người dùng nên cẩn thận với việc cài đặt ứng dụng, đặc biệt là khi các ứng dụng yêu cầu quyền truy cập rộng rãi.
- Khuyến nghị sử dụng phần mềm antivirus mạnh mẽ có thể phát hiện và chặn các mối đe dọa như vậy.
- Cập nhật thường xuyên thiết bị để đảm bảo các bản vá bảo mật mới nhất được áp dụng.
Sự xuất hiện của DocSwap nêu bật các chiến thuật đang phát triển của các hacker Bắc Triều Tiên, những người ngày càng tận dụng các kỹ thuật lừa đảo và phần mềm độc hại tinh vi để nhắm đến các khu vực cụ thể như Hàn Quốc. Điều này nhấn mạnh tầm quan trọng của sự cảnh giác trong số người dùng di động và nhu cầu thực hiện các biện pháp an ninh mạng chủ động.
