Descoberta e panorama
Analistas da ASEC identificaram múltiplas amostras que se passam por um app legítimo de rastreamento de encomendas. O mecanismo de entrega social engineering consiste em apresentar ao usuário uma interface que conecta a sites de rastreamento reais usando números de rastreio gerados aleatoriamente; enquanto o app aparenta operar normalmente, ele executa atividades maliciosas em segundo plano.
Abordagem técnica
O elemento técnico mais destacado pela investigação é o uso de obfuscação avançada: os desenvolvedores aplicaram uma variante “IA-powered” do ProGuard que converte nomes de classes, identificadores de funções e variáveis em cadeias de oito caracteres em coreano, tornando a análise estática e a assinatura baseada em padrões muito mais difíceis. As fontes observam que, intencionalmente, os nomes de recursos foram deixados intactos, indicando uma obfuscação seletiva para esconder a lógica crítica sem quebrar o funcionamento do app.
Comando e controle e exfiltração
Após coletar dados do dispositivo, o malware exfiltra informação para servidores de comando e controle montados em sites legítimos comprometidos. Os operadores codificaram endereços de C2 em blogs hospedados em portais coreanos e carregam esses endereços dinamicamente na inicialização do aplicativo, o que faz com que o tráfego pareça benigno em ferramentas de monitoramento de rede.
Amostras e indicadores
As amostras identificadas incluem cinco hashes MD5 confirmados, com URLs associados apontando para domínios comprometidos usados para exfiltração. O feed não lista os hashes no resumo fornecido, mas confirma a existência das cinco amostras como indicador do padrão de distribuição detectado pela ASEC.
Impacto e vetores de risco
O principal risco é a extração de dados sensíveis de dispositivos móveis de usuários que instalam o app por engano. Como a campanha se disfarça de app de rastreamento — um caso de uso plausível para muitos usuários — a engenharia social aumenta a taxa de sucesso da infecção. O uso de C2 escondidos em sites legítimos reduz a visibilidade para sistemas de defesa baseados em reputação de domínios.
Mitigações e recomendações
As fontes recomendam a priorização da detecção e bloqueio das amostras nos ambientes de rede e a imposição de controles mais rígidos sobre permissões de aplicativos, especialmente para apps que replicam serviços de entrega. Como as informações públicas do feed não trazem um TTP (táticas, técnicas e procedimentos) completo, equipes de segurança móvel devem baselinar comportamentos de apps legítimos de entrega e bloquear downloads de fontes não confiáveis. Além disso, observadores de rede devem inspecionar tráfego para blogs coreanos e outros domínios que pareçam atuar como C2.
Limites das informações
O resumo do feed não fornece uma lista completa de MD5 no corpo do item, nem indica vetores de distribuição específicos (por exemplo, lojas de terceiros ou mensagens) de forma exaustiva. Também não há, no conteúdo resumido, menção a atribuições de autoria ou métricas de alcance (número de dispositivos afetados).
Nota
Este artigo se baseia no relatório resumido publicado pela fonte e nas observações da ASEC citadas no feed; declarações adicionais sobre escopo e impacto são explicitamente evitadas quando não suportadas pelas fontes.