はじめに:KimsukyによるQRコードを利用したモバイルマルウェア攻撃の深化
北朝鮮と関連のあるKimsukyハッカー集団が、高度なモバイルマルウェアキャンペーンを展開していることが脅威研究者によって明らかにされました。このキャンペーンでは、武器化されたQRコードと詐欺的な配送サービスへのなりすましを悪用し、ユーザーにリモートアクセス型トロイの木馬(RAT)をスマートフォンにインストールさせます。今回の攻撃は「DOCSWAP」マルウェアの最新版を利用しており、その手口は非常に巧妙です。
攻撃フロー:巧妙なソーシャルエンジニアリングとリダイレクト
この攻撃は、悪意のあるURLを含むフィッシングメッセージから始まります。ユーザーがPCからこれらのリンクにアクセスすると、モバイルデバイスでの閲覧に切り替えるよう促すQRコードが表示されます。これらのQRコードは最終的に、悪意のあるAndroidアプリケーションをホストする配信サーバーへと被害者をリダイレクトします。
配布のワークフローでは、サーバーサイドのロジックを用いてユーザーのデバイスタイプを検出し、Androidユーザーにのみセキュリティ警告とダウンロードプロンプトを表示し、デスクトップブラウザからのアクセスはブロックします。被害者が「セキュリティアプリをインストール」ボタンをクリックすると、サーバーはAPKのダウンロードを開始すると同時に、アクセス試行と転送の詳細を追跡データベースに記録します。
マルウェア「SecDelivery.apk」の分析:進化する手口
「SecDelivery.apk」と名付けられたこの悪意のあるアプリケーションは、洗練された2段階の感染メカニズムを実装しています。実行時、このマルウェアは、以前のDOCSWAP亜種で採用されていたJavaベースのXOR復号ではなく、新しく開発されたネイティブ復号機能を使用して、埋め込まれた暗号化済みAPKファイルを復号します。この進化したアプローチでは、ビット反転、5ビットローテーション、4バイトキーによるXOR暗号化を含む複数の難読化レイヤーが適用されており、検出回避能力を大幅に向上させています。
復号されたペイロードは、永続的な悪意のあるサービスを起動し、完全なリモートアクセス型トロイの木馬機能を提供します。このマルウェアは、ファイルシステムアクセス、SMS傍受、電話の状態監視、バックグラウンドサービス実行機能など、広範かつ危険な権限を要求します。特に、このアプリケーションはオーバーザトップの認証システムを装った偽の認証画面を表示し、ハードコードされた配送追跡番号を要求することで、ユーザーがバックグラウンドで悪意のあるペイロードを実行している間に欺瞞を維持します。復号された内部APKは、配信サーバーとのコマンド&コントロール(C2)接続を確立し、57種類の異なるコマンドを実装することで、攻撃者が機密データを窃取したり、音声を記録したり、キーストロークをキャプチャしたり、感染デバイスをリモートで制御したりすることを可能にします。
Kimsukyハッカー集団への帰属:決定的な証拠
研究者たちは、このキャンペーンがKimsukyに帰属することを決定的に示す複数の指標を特定しました。これには、過去に脅威グループのフィッシングインフラと関連付けられていた「Million OK!!!!」という署名文字列の存在が含まれます。さらに、既知のKimsukyによるNaverフィッシングキャンペーンとのインフラ重複、同一のパラメータ構造、およびC2サーバーインフラの共有が確認されています。配送番号はAPK内に「742938128549」としてハードコードされており、攻撃者は初期アクセス時に悪意のあるURLとともにこの番号を配信したと評価されています。
加えて、マルウェアコードおよび配布ウェブサイト内に埋め込まれた「ボタンがクリックされたときにログを残す」や「APKダウンロード開始」といった韓国語のコメントは、脅威アクターの韓国語能力と北朝鮮の作戦との関連を強く示唆しています。
潜在的リスクと推奨される対策
包括的な分析により、同一のJARMフィンガープリントを使用する7つの追加のC2サーバーと、配送サービス、仮想通貨エアドロップ、VPNアプリケーションを装った3つの追加の悪意のあるアプリケーションが発見されました。このキャンペーンは、北朝鮮のモバイルエクスプロイト能力の進化を示しており、企業および一般消費者環境におけるモバイルセキュリティ意識の重要性を浮き彫りにしています。
- ユーザーは、特に不明な送信元からのリンク先をクリック前に必ず確認する必要があります。
- アプリの権限要求は慎重に評価するよう推奨されます。
- 組織は、モバイル脅威検出ソリューションを導入し、アプリケーションの審査ポリシーを徹底する必要があります。
- 従業員に対しては、モバイルプラットフォームを標的とした高度なフィッシング技術に関する教育を継続的に行うことが重要です。