Эксперты по кибербезопасности обнаружили новую кампанию с использованием усовершенствованных вредоносных приложений для Android, которые маскируются под легитимные сервисы известных курьерских компаний. Особенностью данной атаки стало сочетание AI-усиленной обфускации кода с нетрадиционной инфраструктурой управления, где в качестве C2-серверов выступают скомпрометированные легитимные сайты.
Описание
Данная угроза демонстрирует эволюцию методов уклонения от обнаружения. Злоумышленники активно применяют обфускацию и упаковку кода для противодействия антивирусным решениям. Примечательно, что в последнее время они начали интегрировать технологии искусственного интеллекта в традиционные решения для обфускации, такие как ProGuard, что значительно усложняет статический анализ.
Технический анализ показал, что вредоносное приложение использует многоуровневую систему скрытности. После получения необходимых разрешений приложение генерирует случайные номера накладных и отображает легитимную страницу отслеживания доставки, создавая видимость нормальной работы. Между тем, на фоне выполняются вредоносные операции.
Особый интерес представляет архитектура командования и управления. Вместо развертывания выделенных C2-серверов злоумышленники используют скомпрометированные легитимные сайты, администраторы которых могут не подозревать о неправомерном использовании их ресурсов. Дополнительно, адреса C2-серверов хардкодируются в контент популярных блогов, откуда они извлекаются во время выполнения приложения. Такой подход значительно затрудняет обнаружение и блокировку коммуникационных каналов.
Анализ обфускации выявил систематическое использование бессмысленных корейских строк длиной в восемь символов для замены имен классов, функций и переменных. Характер изменений указывает на применение ProGuard с элементами AI-оптимизации. Сохранение имен ресурсов без изменений подтверждает использование целенаправленной, а не сплошной обфускации.
С точки зрения функциональности, вредоносное приложение запрашивает широкий набор разрешений при запуске, что типично для шпионского ПО и программ-вымогателей. После получения доступа оно может осуществлять кражу конфиденциальных данных, включая личную информацию и учетные данные. Механизм устойчивости обеспечивает длительное присутствие в системе, а полезная нагрузка ориентирована на извлечение максимального объема данных.
Эксперты отмечают, что использование взломанных нормальных сайтов в качестве прокси для C2-коммуникаций представляет серьезную проблему для традиционных систем защиты. Такие подключения часто выглядят как легитимный трафик, что позволяет обходить механизмы обнаружения на основе репутации IP-адресов и доменных имен.
Рекомендуется проявлять особую осторожность при установке приложений из ненадежных источников, даже если они имитируют известные бренды. Корпоративным пользователям следует усилить мониторинг сетевой активности, обращая внимание на необычные соединения с обычными веб-сайтами. Регулярное обновление систем безопасности и применение решений для поведенческого анализа могут помочь в обнаружении подобных угроз.
Данный случай подчеркивает растущую тенденцию к использованию легитимной интернет-инфраструктуры в киберпреступных целях. Специалисты прогнозируют дальнейшее развитие этих техник, особенно в части автоматизации создания обфусцированного кода с помощью AI-инструментов. Осведомленность и многоуровневая защита остаются ключевыми элементами противодействия современным угрозам.
Индикаторы компрометации
URLs
- http://dhct.co.kr/
- http://mlsm.or.kr/
- http://solarbusiness.kr/
MD5
- 46a05b40410e26998b617240c1cc054e
- 52cd352cd52189ff202dc2af5c113c81
- 7b80a53b40a377d95e3f61d60c5de9fc
- 8223ec9a2a9236efaca2ffb5812bd560
- 96076a7576ed55b2f5d057f7f73ce799
