Kimsuky Spreads DocSwap Android Malware via QR Phishing Posing as Delivery App

Camouflage de malware Android via QR Codes et Fausses Applications de Livraison

Le groupe de menace nord-coréen Kimsuky cible les utilisateurs Android avec une nouvelle campagne de distribution de malware, DocSwap. Cette attaque utilise des QR codes présents sur des sites de phishing qui imitent la société de logistique sud-coréenne CJ Logistics.

Le mode opératoire consiste à inciter les victimes, souvent par des SMS ou emails frauduleux (smishing), à scanner un QR code depuis leur appareil mobile. Ce code redirige vers un script “tracking.php” qui, se basant sur l’agent utilisateur du navigateur, demande l’installation d’un “module de sécurité” pour des raisons fallacieuses de douane internationale. Le texte du message prétend que l’application est une version officielle et sécurisée pour tromper les utilisateurs.

Une fois installé, le fichier “SecDelivery.apk” déchiffre et charge un autre APK intégré, activant ainsi DocSwap. Le malware obtient des permissions étendues pour lire le stockage, accéder à internet et installer d’autres applications. Il affiche ensuite une fausse interface d’authentification OTP (à usage unique) demandant un numéro de livraison. Après saisie, une fausse requête de code est affichée, puis l’application ouvre le site légitime de suivi de colis de CJ Logistics dans un WebView. Pendant ce temps, le trojan communique avec un serveur contrôlé par l’attaquant, prêt à recevoir jusqu’à 57 commandes.

Les capacités du malware incluent la capture de frappes, l’enregistrement audio, le contrôle de la caméra, la gestion de fichiers, l’exécution de commandes, le transfert de données, et la collecte d’informations sensibles telles que la localisation, les SMS, les contacts, l’historique des appels et la liste des applications installées.

D’autres variantes ont été identifiées, se déguisant en application d’Airdrop (P2B Airdrop) ou en version compromise d’une application VPN légitime (BYCOM VPN). Les infrastructures de phishing découvertes imitent également des plateformes sud-coréennes comme Naver et Kakao pour voler des identifiants, montrant un lien avec de précédentes campagnes de Kimsuky visant le vol de ces informations. Les nouvelles fonctionnalités de DocSwap incluent une nouvelle méthode native pour déchiffrer l’APK interne et divers comportements de diversion.

Points clés :

• Distribution de malware Android (DocSwap) par le groupe Kimsuky.
• Utilisation de QR codes sur des sites de phishing imitant CJ Logistics.
• Ingénierie sociale pour contourner les protections Android et pousser à l’installation.
• Fonctionnalités avancées de RAT (Remote Access Trojan).
• Utilisation d’autres leurres (application Airdrop, VPN compromis).
• Chevauchement avec des campagnes antérieures de Kimsuky pour le vol d’identifiants.

Vulnérabilités :

• Pas de CVE spécifique mentionné dans l’article. Les vulnérabilités exploitées sont principalement dues à l’ingénierie sociale et à la capacité des utilisateurs à désactiver les protections de sécurité ou à installer des applications depuis des sources inconnues.

Recommandations :

• Être extrêmement prudent avec les QR codes provenant de sources non fiables ou de communications inattendues.
• Ne pas installer d’applications depuis des sources inconnues ou non officielles.
• Ignorer les messages demandant l’installation de “modules de sécurité” ou de “mises à jour” sous prétexte de vérification d’identité ou de conformité.
• Vérifier l’authenticité des sites web et des applications, surtout lorsqu’ils concernent des services logistiques ou de livraison.
• Maintenir les systèmes d’exploitation Android à jour pour bénéficier des correctifs de sécurité.
• Être vigilant face aux tentatives de phishing, qu’elles soient par email, SMS ou via des QR codes.

Source