يُواصل القراصنة المرتبطون بكوريا الشمالية، المعروفون باسم Kimsuky، تطوير أساليبهم الهجومية، حيث كشفت تقارير أمنية حديثة عن استغلالهم لرموز الاستجابة السريعة (QR Codes) لنشر برمجيات خبيثة متقدمة تستهدف الهواتف الذكية. تهدف هذه الحملة المحسّنة إلى خداع المستخدمين عبر مواقع تصيد احتيالي محاكية لخدمات توصيل الطرود.
بدأت الحملة المكتشفة في سبتمبر 2025، حيث تلقى الضحايا رسائل نصية قصيرة (smishing) تتضمن روابط تقود إلى مواقع تتبع طرود وهمية. هذه المواقع بدورها تعرض رموز QR مصممة لجذب المستخدمين إلى تنزيل تطبيقات أندرويد مصابة على أجهزتهم.
Kimsuky يستغل رموز QR للوصول إلى بيانات الهاتف
تُعد هذه البرمجية الخبيثة أحدث نسخة من تهديد سابق عُرف باسم “DOCSWAP”، والذي تم توثيقه لأول مرة في وقت سابق من عام 2025. هذه النسخة الجديدة تأتي مع تحسينات ملحوظة مقارنة بالإصدارات السابقة، بما في ذلك وظيفة فك تشفير أصلية جديدة وسلوكيات خادعة أكثر تنوعاً.
وقد حدد محللو الأمن التطبيق الخبيث الذي يتم توزيعه من خادم قيادة وتحكم يقع في عنوان IP محدد. استغل المهاجمون انتحال صفة خدمات مشروعة مثل CJ Logistics، ومنصات المزادات، وتطبيقات VPN، وأنظمة مصادقة خاصة بالعملات المشفرة لخداع الضحايا.
آلية التوزيع والاستهداف
عندما يحاول المستخدمون الوصول إلى الروابط المخادعة عبر جهاز كمبيوتر، تظهر لهم رسالة تفيد بأنه “لأسباب أمنية، لا يمكن عرض هذه الصفحة من جهاز كمبيوتر” مصحوبة برمز QR. مسح هذا الرمز باستخدام جهاز محمول يبدأ تنزيل ما يبدو أنه تطبيق أمني، ولكنه في الواقع البرمجية الخبيثة.
أما بالنسبة لمستخدمي أجهزة الأندرويد، فإن الوصول إلى نفس الرابط يعرض مباشرة شاشات فحص أمنية وهمية، ويطلب منهم تثبيت “تطبيق أمني” لإكمال عملية المصادقة. هذا التكيّف مع نوع الجهاز يزيد من فعالية الحملة.
البرمجية الخبيثة والوصول إلى البيانات
وتستخدم التطبيقات الخبيثة عناوين URL مشفرة بـ Base64 ومنطقاً على جانب الخادم يقدم محتوى مختلفاً بناءً على نوع جهاز المستخدم، مما يجعل الكشف عنها أكثر صعوبة. بمجرد التثبيت، تعمل البرمجية الخبيثة على عدة مراحل، حيث تطلب في البداية أذونات واسعة النطاق تشمل الوصول إلى الملفات، والهاتف، والرسائل النصية القصيرة، وبيانات الموقع.
يحتوي ملف APK الذي تم تنزيله، والمسمى “SecDelivery.apk”، على ملف APK مشفر مخزن كـ “security.dat” ضمن موارده. على عكس الإصدارات السابقة التي استخدمت فك تشفير XOR المستند إلى Java، تستخدم هذه النسخة مكتبة أصلية تسمى “libnative-lib.so” لفك تشفير ملف APK المضمن.
آليات الثبات والسيطرة
تُنشئ البرمجية الخبيثة ثباتها من خلال عملية تسجيل خدمة معقدة. بعد فك التشفير، يقوم التطبيق بتشغيل SplashActivity، التي تقوم بتحميل الموارد المشفرة، وطلب الأذونات اللازمة، وتسجيل خدمة خبيثة تسمى MainService. للحفاظ على التشغيل المستمر، يقوم الخبيث بتكوين مرشحات نوايا (intent filters) تقوم بتنفيذ MainService تلقائيًا عند إعادة تشغيل الجهاز أو توصيله بالطاقة.
يُظهر التطبيق شاشة مصادقة وهمية مقنعة تطلب من المستخدمين إدخال رقم تتبع الشحنة ورمز التحقق. بعد عملية المصادقة، يعرض التطبيق موقع تتبع الشحنات الرسمي من خلال واجهة عرض الويب (webview)، مما يعطي المستخدمين انطباعاً بأنهم قاموا بتثبيت تطبيق شرعي، بينما تعمل الخدمة الخبيثة بصمت في الخلفية.
تفاصيل عمليات Kimsuky
يدعم برنامج الوصول عن بعد (RAT) المضمن 57 أمراً تمكّن السيطرة الشاملة على الجهاز. يتواصل مع خادم القيادة والتحكم باستخدام تنسيق يتضمن رؤوس الطول، وبايتات العدم (null bytes)، وحمولات مضغوطة بنظام Gzip. يسمح منطق تحليل الأوامر، الذي يستخدم “10249” كمحدد، للبرمجية الخبيثة بتنفيذ إجراءات مثل تسجيل الصوت والفيديو، وإدارة الملفات، وتتبع الموقع، وجمع سجلات المكالمات، وسرقة قائمة جهات الاتصال، واعتراض الرسائل النصية القصيرة، وتنفيذ الأوامر عن بعد، وتسجيل ضغطات المفاتيح الحية.
يكشف تحليل تعليقات الكود ورسائل الخطأ المكتوبة باللغة الكورية في ملفات الحملة عن وجود صلات واضحة بين هذه الحملات وعلميات Kimsuky السابقة، مما يؤكد استغلال نفس البنية التحتية والمؤشرات. يُظهر هذا التطور المستمر في تهديدات Kimsuky، مع التركيز المتزايد على الهواتف الذكية التي غالباً ما تحتوي على معلومات مالية وشخصية حساسة.