Kimsuky despliega malware Android mediante phishing con códigos QR que imitan apps de paquetería
El grupo de amenazas norcoreano Kimsuky, también conocido como Thallium, ha comenzado a desplegar el malware Android DocSwap a través de campañas de phishing basadas en códigos QR, haciéndose pasar por aplicaciones legítimas de servicios de entrega y paquetería. La operación se ha detectado principalmente en Corea del Sur, con extensión a otras regiones de Asia, Estados Unidos y Europa.
La campaña confirma una evolución clara del grupo hacia operaciones móviles de ciberespionaje y robo de información financiera, utilizando técnicas de ingeniería social adaptadas al uso cotidiano de smartphones.
Detalles técnicos de la campaña
De acuerdo con análisis de seguridad, Kimsuky distribuye DocSwap desde septiembre de 2025 mediante sitios web falsos que imitan aplicaciones de delivery populares. Las víctimas son inducidas a escanear códigos QR incluidos en mensajes SMS o plataformas de mensajería, que redirigen a enlaces acortados desde los cuales se descarga un APK malicioso.
Una vez instalado, DocSwap solicita permisos excesivos para una supuesta aplicación de rastreo de envíos, incluyendo:
-
Acceso a SMS y contactos
-
Lectura y escritura de almacenamiento
-
Permisos de overlay sobre otras aplicaciones
-
Control ampliado del dispositivo
Estos permisos permiten al malware ejecutar funciones de robo de credenciales bancarias, espionaje de sesiones activas y ejecución de comandos remotos, además de capacidades de keylogging y captura de pantalla, con exfiltración de datos cifrada hacia servidores de comando y control (C2).
Vectores de infección y técnicas utilizadas
Los ataques se dirigen principalmente a usuarios Android en Corea del Sur, aunque se han observado intentos en Estados Unidos y Europa. El vector principal es el abuso de la confianza en notificaciones de entregas, un mecanismo que aprovecha el uso cada vez más común de códigos QR para seguimiento de paquetes.
DocSwap suele presentarse bajo nombres como “DeliveryTrack” u otras denominaciones similares, lo que induce a los usuarios a realizar sideloading de aplicaciones fuera de Google Play.
A nivel técnico, el malware incorpora:
-
Ofuscación avanzada mediante strings cifrados
-
Mecanismos anti-análisis para evadir entornos de sandbox
-
Persistencia mediante Device Administrator
-
Infraestructura y TTPs consistentes con campañas previas de Kimsuky
Los investigadores han identificado similitudes con herramientas históricas del grupo, como BabyShark y ShanDuke, utilizadas en operaciones de ciberespionaje financiero y gubernamental.
Impacto y riesgos para organizaciones
Esta campaña evidencia el desplazamiento estratégico de Kimsuky hacia plataformas móviles, ampliando su superficie de ataque más allá de endpoints tradicionales. El uso de malware Android permite a los atacantes obtener acceso continuo a credenciales, comunicaciones privadas y datos financieros, con un alto nivel de sigilo.
Las víctimas potenciales incluyen empleados gubernamentales, personal de instituciones financieras y usuarios corporativos, especialmente aquellos que utilizan dispositivos móviles personales bajo esquemas BYOD.
Recomendaciones de mitigación
Los especialistas en seguridad recomiendan implementar medidas inmediatas para reducir el riesgo:
-
Instalar aplicaciones exclusivamente desde Google Play
-
Evitar escanear códigos QR recibidos por SMS o mensajería no verificada
-
Mantener Google Play Protect activado
-
Revisar y limitar permisos otorgados a aplicaciones de delivery
-
Aplicar actualizaciones de seguridad de Android de forma prioritaria
-
Monitorear dispositivos móviles como activos críticos dentro de la estrategia de seguridad
La campaña DocSwap refuerza una realidad clave para equipos de TI y seguridad: el smartphone ya es un endpoint de alto valor para actores APT, y debe ser protegido con el mismo rigor que una estación de trabajo corporativa.