Kimsuky الكورية الشمالية تبتكر هجمات QR لاصطياد مستخدمي أندرويد

بوت نتتفاصيل جديدة حول حملة التجسس LANDFALL على أجهزة أندرويد "Kimwolf" يصيب أكثر من مليوني جهاز أندرويد عبر منافذ ADB المكشوفة وشبكات البروكسي السكنية — تفاصيل جديدة حول حملة التجسس LANDFALL على أجهزة أندرويد

تكشف أبحاث أمنية جديدة عن حملة خبيثة متطورة تشنها مجموعة التهديد الكورية الشمالية المعروفة باسم “Kimsuky”، تستهدف مستخدمي هواتف أندرويد عبر هجمات تصيد مبتكرة تعتمد على رموز QR. تنتشر الحملة بواسطة تطبيق ضار جديد يُدعى “DocSwap” متخفياً في صورة تطبيق لتتبع الطرود التابع لشركة الشحن الكورية الجنوبية “CJ Logistics”. يستخدم المهاجمون رسائل نصية ورسائل بريد إلكتروني خادعة تحاكي شركات التوصيل، لدفع الضحايا إلى فحص رموز QR تقودهم إلى مواقع تصيد تستضيف التطبيق الخبيث.

آلية الخداع: من رسالة نصية إلى تطبيق تجسس كامل الصلاحيات

تبدأ العملية عندما يتلقى الضحية رسالة نصية أو بريداً إلكترونياً يدعي وجود شحنة بحاجة إلى تتبع. عند النقر على الرابط المرفق، يُوجه المستخدمون الذين يزورون الصفحة من كمبيوتر مكتبي إلى مسح رمز QR يعرض على الشاشة بهواتفهم المحمولة. هذا الرمز ينقلهم إلى صفحة تدعي الحاجة إلى تثبيت “وحدة أمنية” للتحقق من الهوية بسبب “سياسات الجمارك الدولية”. إذا وافق الضحية، يتم تنزيل حزمة APK باسم “SecDelivery.apk”. بمجرد التثبيت، يقوم التطبيق المخادع بطلب أذونات شاملة تشمل الوصول إلى التخزين والإنترنت وتثبيت حزم أخرى، قبل أن يفك تشفير وينشئ نسخة خبيثة من برنامج DocSwap التجسسي.

واجهة وهمية متقنة ومرحلة تحقق ذاتي

يمتاز هذا الهجوم باحترافية عالية في محاكاة التطبيقات الشرعية. بعد الحصول على الأذونات، يُظهر التطبيق شاشة تحقق هوية (AuthActivity) تطلب إدخال رقم شحنة. الرقم – المضمن ثابتاً في الكود كـ “742938128549” – يكون قد أُرسل مع رابط التصيد الأصلي. عند إدخاله، يولد التطبيق رمز تحقق عشوائي مكون من ستة أرقام ويعرضه كإشعار، ثم يطلب من المستخدم إعادة إدخاله. هذه الحلقة المزدوجة تخلق وهم مصداقية وتفاعل حقيقي. فور إكمال “التحقق”، يفتح التطبيق صفحة التتبع الشرعية لموقع CJ Logistics، بينما يبدأ في الخلفية بتنفيذ مهامه الخبيثة.

57 أمراً تجسسياً: سيطرة كاملة على الهاتف المخترق

بعد التثبيت الناجح، يتصل البرنامج الضار بخادم يتحكم فيه المهاجمون (“27.102.137[.]181:50005”) لاستقبال ما يصل إلى 57 أمراً مختلفاً، مما يمنحهم سيطرة شاملة تقريباً على الجهاز المصاب. تشمل القدرات التجسسية تسجيل ضغطات المفاتيح، وتسجيل الصوت، والتحكم بكاميرا الهاتف لتشغيل/إيقاف التسجيل، والوصول إلى الملفات ونقلها، وجمع الرسائل النصية وجهات الاتصال وسجلات المكالمات، وحتى الحصول على قائمة بجميع التطبيقات المثبتة. هذه الوظائف تجعل من DocSwap أداة تجسس قوية وخطيرة، تلتقط كل جوانب حياة الضحية الرقمية.

تطور التهديد: تمويه متعدد الأوجه وبنية تحتية موسعة

لا تقتصر حملة كيمسوكي على تطبيق شحن وحيد، بل كشفت التحليلات عن عينات أخرى متخفية في صورة تطبيق “P2B Airdrop” وحتى في نسخة معدلة خبيثاً من تطبيق VPN شرعي يدعى “BYCOM VPN” كان متوفراً على متجر Google Play. كما كشفت الأبحاث عن مواقع تصيد إضافية تحاكي منصات كورية جنوبية شهيرة مثل “نافير” و”كاكاو” لسرقة بيانات الاعتماد، تشترك في بنيتها التحتية مع حملات سابقة لنفس المجموعة. هذا التمويه المتعدد، إلى جانب استخدام وظائف برمجية جديدة لفك التشفير ودمج سلوكيات طعم متنوعة، يؤكد تطوراً ملحوظاً في قدرات المجموعة وتهديدها المتصاعد للمستخدمين في المنطقة وخارجها.

وسوم