El grupo de amenazas norcoreano Kimsuky ha sido vinculado a una nueva campaña de ciberataques que utiliza códigos QR para distribuir una nueva variante del malware Android DocSwap. Los atacantes están utilizando sitios de phishing que imitan a la empresa de logística surcoreana CJ Logistics para engañar a las víctimas.
Mecanismo de Distribución y Engaño
La campaña se dirige a usuarios de dispositivos móviles Android mediante un sofisticado método de ingeniería social. El proceso de ataque se desarrolla de la siguiente manera:
- Lanzamiento del Ataque: Los ciberdelincuentes envían mensajes de smishing (SMS de phishing) o correos electrónicos suplantando la identidad de empresas de entrega de paquetes para engañar a los destinatarios y que hagan clic en URLs maliciosas.
- Redirección con Códigos QR: Las víctimas que acceden a las URLs fraudulentas desde un ordenador de escritorio son redirigidas a una página que les pide escanear un código QR con su dispositivo Android. Este código QR lleva a la descarga de la aplicación maliciosa.
- Ingeniería Social para Burlar Advertencias: El sitio de phishing afirma que la instalación de una supuesta aplicación de seguimiento es necesaria para verificar la identidad debido a “políticas de seguridad aduaneras internacionales”. Esta táctica busca convencer a las víctimas de que ignoren las advertencias de seguridad de Android sobre la instalación de aplicaciones de fuentes desconocidas.
Análisis Técnico del Malware DocSwap
El análisis realizado por la compañía de ciberseguridad surcoreana ENKI revela que la nueva variante de DocSwap presenta capacidades evolucionadas:
- Descarga e Instalación: El usuario descarga un paquete APK malicioso, típicamente llamado “SecDelivery.apk”.
- Carga de Carga Útil (Payload): Una vez instalado, el APK descarga y descifra un APK cifrado incrustado en sus recursos para lanzar la nueva versión de DocSwap.
- Solicitud de Permisos: La aplicación solicita permisos críticos, como la capacidad de leer y gestionar el almacenamiento externo, acceder a internet e instalar paquetes adicionales.
- Actividad de Decoy: Para ocultar su actividad maliciosa, el troyano registra un servicio malicioso en segundo plano y muestra una pantalla de autenticación OTP (contraseña de un solo uso). La aplicación utiliza un número de seguimiento de envío codificado (por ejemplo, “742938128549”) y, tras la supuesta verificación, abre la URL legítima de CJ Logistics en un WebView.
Capacidades del Ciberataque y Vinculación con Kimsuky
Mientras la víctima interactúa con la página web legítima, el troyano DocSwap se conecta a un servidor de comando y control (C2) operado por los atacantes. Este servidor C2 puede enviar hasta 57 comandos diferentes para:
- Registrar pulsaciones de teclas (keylogging).
- Capturar audio y grabar vídeo con la cámara.
- Realizar operaciones de archivos (subir/descargar).
- Ejecutar comandos en el dispositivo.
- Exfiltrar datos sensibles, incluyendo ubicación, mensajes SMS, contactos, registros de llamadas y una lista de aplicaciones instaladas.
Los investigadores también han descubierto otras muestras maliciosas utilizadas por Kimsuky, como una aplicación de P2B Airdrop y una versión troyanizada de la aplicación VPN legítima BYCOM VPN. Esta infraestructura maliciosa también se superpone con campañas anteriores de Kimsuky dirigidas a Naver y Kakao, plataformas populares en Corea del Sur, para robar credenciales de usuario.
Conclusión
La campaña de phishing con códigos QR de Kimsuky subraya la sofisticación de los actores de amenazas persistentes (APTs) en la adaptación de sus tácticas de distribución. Al utilizar métodos de ingeniería social y señuelos de aplicaciones legítimas (como las de seguimiento de paquetes), Kimsuky logra sortear las defensas de seguridad de los dispositivos Android y engañar a los usuarios. La nueva variante de DocSwap, con su capacidad para descifrar el APK internamente y ejecutar amplias funciones de RAT, representa una amenaza significativa para la privacidad y la seguridad de los datos de los usuarios de dispositivos móviles en la región.
Referencias
- Servidores de C2: 27.102.137[.]181:50005
- Ejemplo de APK: SecDelivery.apk
- Sitio legítimo suplantado: cjlogistics[.]com/ko/tool/parcel/tracking