Grupo hacker Kimsuky usa QR Codes e apps falsos para espionar usuários Android

O grupo hacker norte-coreano Kimsuky foi associado a uma nova campanha de ataques que utiliza QR Codes maliciosos para distribuir uma variante inédita de malware para Android, batizada de DocSwap. A operação se apoia em sites de phishing que se passam pela empresa de logística sul-coreana CJ Logistics, induzindo vítimas a instalar aplicativos falsos de rastreamento de encomendas em seus smartphones.

De acordo com Pesquisadores da empresa sul-coreana ENKI, os hackers utilizam pop-ups e notificações falsas para convencer os usuários a escanear QR Codes ou clicar em links maliciosos. Esses recursos levam à instalação de um aplicativo que, após executado, descriptografa um APK malicioso embutido e ativa um serviço com funcionalidades de RAT (Remote Access Trojan), permitindo controle remoto completo do dispositivo.

A campanha explora o fato de que o Android, por padrão, bloqueia a instalação de aplicativos de fontes desconhecidas. Para contornar essa proteção, os hackers alegam que o app é uma versão oficial e segura, incentivando as vítimas a ignorarem os alertas de segurança do sistema operacional. Em muitos casos, os arquivos se disfarçam como aplicativos legítimos de serviços de entrega.

Um dos diferenciais do ataque é o uso de redirecionamento por QR Code. Quando a vítima acessa o site de phishing por um computador, a página exibe um QR Code que deve ser escaneado com um celular Android para supostamente baixar um aplicativo de rastreamento de encomendas. O QR Code direciona para um script chamado tracking.php, que analisa o User-Agent do navegador e exibe uma mensagem solicitando a instalação de um “módulo de segurança”, sob o pretexto de exigências de “políticas internacionais de segurança alfandegária”.

Ao prosseguir com a instalação, o dispositivo baixa um arquivo APK chamado SecDelivery.apk, hospedado em um servidor controlado pelos hackers. Esse APK descriptografa e executa uma versão atualizada do DocSwap, após verificar permissões críticas como acesso à internet, armazenamento, instalação de pacotes adicionais e gerenciamento de arquivos externos.

Uma vez ativo, o malware registra um serviço chamado com.delivery.security.MainService e exibe uma falsa tela de autenticação por OTP, simulando a verificação de identidade por meio de um número de entrega. Esse número já vem embutido no código do aplicativo e, após inserido, o app gera um código de verificação falso para concluir o processo, enquanto abre simultaneamente o site legítimo da CJ Logistics para não levantar suspeitas.

Em segundo plano, o trojan estabelece comunicação com um servidor remoto controlado pelos hackers, de onde recebe dezenas de comandos maliciosos. Entre as capacidades identificadas estão registro de teclas digitadas, captura de áudio, controle da câmera, acesso a arquivos, coleta de localização, SMS, contatos, registros de chamadas e inventário de aplicativos instalados, além de upload e download de dados.

Os Pesquisadores também identificaram outras amostras do ataque, incluindo aplicativos disfarçados como um serviço de airdrop de criptomoedas e uma versão adulterada de um aplicativo legítimo de VPN disponível na Google Play Store. Segundo a ENKI, isso indica que o grupo hacker modificou aplicativos reais, injetou código malicioso e os redistribuiu como parte da campanha.

A análise da infraestrutura utilizada revelou ainda sites de phishing clonando plataformas populares da Coreia do Sul, como Naver e Kakao, com o objetivo de roubar credenciais. Esses domínios apresentam semelhanças com campanhas anteriores do Kimsuky, demonstrando uma evolução contínua das técnicas de engenharia social e distribuição de malware móvel.

Via - THN