Resumo
Pesquisadores identificaram uma campanha atribuída ao grupo ligado à Coreia do Norte Kimsuky que distribui um trojan remoto (RAT) para Android por meio de sites de phishing que exibem QR codes e simulam serviços de entrega. A amostra mais recente é uma variante do que vem sendo chamada de "DOCSWAP", com novas rotinas de descriptografia nativa e mecanismos de persistência.
Descoberta e escopo
Analistas da Enki descobriram a campanha em setembro de 2025 e documentaram uma amostra distribuída a partir do servidor de comando e controle identificado como 27.102.137[.]181. A investigação mostra que os ataques usam mensagens de smishing que direcionam vítimas para páginas de rastreio falsas de encomendas; quando acessadas por desktop, essas páginas exibem a mensagem: "For security reasons, you cannot view this page from a PC" acompanhada de um QR code.
A partir das informações públicas não há indicação do número de vítimas ou do alcance geográfico exato da campanha — esses dados não foram fornecidos pelas fontes consultadas.
Vetor e mecanismo de entrega
Ao escanear o QR code com um dispositivo móvel, a vítima é induzida a baixar um APK disfarçado como um aplicativo de segurança ou rastreamento de entrega. A mesma URL emprega lógica server-side e URLs codificadas em Base64 para servir conteúdos distintos conforme o user-agent, dificultando a detecção automática e a análise estática.
Arquitetura do malware e persistência
A APK observada — nomeada SecDelivery.apk — contém um arquivo encriptado chamado security.dat e usa uma biblioteca nativa (libnative-lib.so) para descriptografar o payload incorporado. O processo de decodificação documentado envolve três etapas: inversão de bits, rotação à esquerda de 5 bits e uma operação XOR com a chave de 4 bytes 541161FE (hex).
Após a carga útil ser decriptada, o aplicativo executa uma SplashActivity que solicita permissões abrangentes (acesso a arquivos, chamadas, SMS, localização) e registra um serviço malicioso chamado MainService. O AndroidManifest documenta filtros de intent para acionar o serviço em eventos como BOOT_COMPLETED e conexões de energia, garantindo persistência entre reinicializações.
Capacidades e comandos
A amostra incorpora um RAT com suporte a 57 comandos capazes de controlar amplamente o dispositivo: gravação de áudio e vídeo, gerenciamento e exfiltração de arquivos, rastreamento de localização, coleta de registros de chamadas e contatos, interceptação de SMS, execução remota de comandos e keylogging em tempo real.
O canal de comunicação com o C2 utiliza um formato que inclui cabeçalhos de tamanho, bytes nulos e payloads comprimidos com Gzip. A lógica de parsing usa o delimitador 10249. O keylogger aproveita o Accessibility Service do Android para capturar ícones de apps, nomes de pacotes, textos de eventos e timestamps; os dados são então comprimidos e codificados em Base64 antes do envio.
Evasão e decoy
Para convencer a vítima, o aplicativo exibe telas falsas de autenticação pedindo número de rastreamento e código de verificação — a investigação cita explicitamente o número 742938128549 como parte do engodo inicial. Após a autenticação simulada, um webview carrega a página legítima de rastreio, dando aparência de legitimidade enquanto o serviço malicioso opera silenciosamente em segundo plano.
Vínculos com operações anteriores
Pesquisadores apontaram evidências de reutilização de infraestrutura e artefatos que ligam esta campanha a atividades prévias atribuídas ao Kimsuky, como a presença da string distintiva "Million OK !!!!" no diretório raiz de servidores C2 e comentários em coreano em trechos HTML e mensagens de erro.
O que falta saber
- O número total de dispositivos comprometidos e a distribuição geográfica das vítimas não foram divulgados.
- Não há informações públicas sobre uma vinculação direta a alvos específicos (setor público, empresas ou usuários em um país concreto).
Implicações para defesa
As características técnicas documentadas — uso de QR codes como vetor de entrega, descriptografia nativa do payload, persitência via serviços e abuso do Accessibility Service — exigem controles em múltiplas frentes: conscientização contra smishing, verificação rigorosa de origens de APK (evitar instalação fora da loja oficial), monitoração de atividades privilegiadas em endpoints móveis e análise de tráfego para identificar padrões de C2 (ex.: strings e formatos com delimitadores como 10249).
Observação final
As informações deste texto foram extraídas do relatório público citado pela Enki e do resumo publicado pelo Cyber Security News. Onde os dados não foram informados pelas fontes, isto foi explicitado. Não há números de vítimas ou métricas de alcance disponíveis nas fontes consultadas.