Malware móvil DocSwap
Mantenerse alerta ante la evolución de las amenazas móviles es fundamental, ya que actores vinculados con el Estado siguen perfeccionando la ingeniería social y las técnicas de distribución de malware. Una campaña reciente atribuida al grupo norcoreano Kimsuky destaca cómo los atacantes combinan phishing, códigos QR y aplicaciones Android troyanizadas para comprometer los dispositivos de las víctimas.
Tabla de contenido
Se descubre la última campaña de Kimsuky para Android
Investigadores de seguridad han vinculado a Kimsuky con una nueva operación que distribuye una nueva variante de malware para Android conocida como DocSwap. La campaña utiliza sitios web de phishing que se hacen pasar por la conocida empresa de logística seuliana CJ Logistics, anteriormente CJ Korea Express. Estas páginas falsas están diseñadas para parecer confiables y se dirigen a usuarios que esperan recibir notificaciones relacionadas con envíos.
Códigos QR y alertas falsas como vectores de infección
Los atacantes recurren en gran medida a códigos QR y notificaciones emergentes engañosas para incitar a los usuarios a instalar aplicaciones maliciosas. Al acceder desde un ordenador, la página de phishing muestra un código QR que invita al visitante a escanearlo con un dispositivo Android. Esta técnica de redirección induce a la víctima a instalar lo que se presenta como una aplicación de seguimiento de envíos o de verificación de seguridad.
Para aumentar el engaño, la página de phishing ejecuta un script PHP de seguimiento que inspecciona el agente de usuario del navegador. Con base en esta comprobación, se muestran mensajes a los usuarios que les instan a instalar un supuesto módulo de seguridad, supuestamente necesario para cumplir con las políticas internacionales de seguridad aduanera. Esta narrativa pretende justificar la solicitud de instalación y desviar las sospechas.
Cómo eludir las advertencias de seguridad de Android
Dado que Android restringe las instalaciones de fuentes desconocidas y muestra advertencias destacadas, los cibercriminales afirman falsamente que la aplicación es una versión oficial y segura. Esta táctica de ingeniería social presiona a las víctimas para que ignoren las protecciones integradas y procedan con la instalación a pesar de las alertas.
Cadena de ejecución y entrega de APK maliciosos
Si la víctima accede, se descarga un APK llamado SecDelivery.apk del servidor 27.102.137.181. Una vez ejecutado, este paquete descifra un APK cifrado incrustado en sus propios recursos. Antes de activar la carga útil, verifica que tenga permisos para administrar el almacenamiento externo, acceder a internet e instalar paquetes adicionales.
Tras confirmar los permisos, el malware registra un servicio identificado como com.delivery.security.MainService e inicia inmediatamente una actividad que simula ser una verificación de identidad basada en OTP. Esta pantalla de autenticación falsa solicita un número de entrega, que está codificado en el APK como 742938128549 y probablemente se proporciona a las víctimas durante el paso inicial del phishing.
Autenticación engañosa y compromiso silencioso
Al introducir el número de entrega, la aplicación genera un código de verificación aleatorio de seis dígitos y lo muestra como notificación. Se le solicita al usuario que introduzca este código, lo que refuerza la ilusión de un proceso de seguridad legítimo. Una vez completado, la aplicación abre una vista web que dirige a la página de seguimiento original de CJ Logistics, lo que da la impresión de autenticidad a la actividad.
Mientras tanto, el componente malicioso se conecta silenciosamente a un servidor de comando y control controlado por el atacante en 27.102.137.181, en el puerto 50005. A partir de este punto, la variante DocSwap recién implementada funciona como un troyano de acceso remoto con todas las funciones.
Capacidades de acceso remoto y robo de datos
El malware es capaz de recibir docenas de comandos de sus operadores, lo que permite una amplia vigilancia y control del dispositivo infectado. Su funcionalidad incluye la capacidad de registrar las entradas del usuario, monitorear las comunicaciones y extraer datos personales confidenciales, convirtiendo el smartphone comprometido en una potente herramienta de espionaje.
Aplicaciones troyanizadas y distribución ampliada
Además de la aplicación de entrega falsa, los investigadores identificaron muestras maliciosas adicionales que se hacían pasar por una aplicación P2B Airdrop y una versión comprometida de un producto VPN legítimo, BYCOM VPN. La aplicación VPN genuina está disponible en Google Play y fue desarrollada por la empresa india Bycom Solutions. El análisis indica que Kimsuky inyectó código malicioso en el APK legítimo y lo reempaquetó para su uso en la campaña.
Infraestructura de phishing y recolección de credenciales
La investigación de la infraestructura de soporte reveló sitios web de phishing que imitan plataformas populares de Corea del Sur como Naver y Kakao. Estos sitios están diseñados para robar credenciales de usuario y presentan coincidencias con operaciones anteriores de Kimsuky dirigidas específicamente a usuarios de Naver, lo que sugiere la reutilización y expansión de la infraestructura establecida.
Diseño de malware en evolución
Si bien el malware implementado aún ejecuta un servicio RAT similar a las herramientas Kimsuky anteriores, demuestra una notable evolución. El uso de una nueva función de descifrado nativa para el APK integrado y la inclusión de múltiples comportamientos de señuelo indican un desarrollo continuo y un esfuerzo por evadir la detección, a la vez que se aumenta la eficacia.
