被称为Kimsuky的朝鲜威胁行为者，被证实与一场新的攻击活动有关。该活动通过伪装成总部位于首尔的物流公司CJ Logistics（前身为CJ Korea Express）的钓鱼网站上托管的二维码，分发一种名为DocSwap的安卓恶意软件新变种。

韩国网络安全公司ENKI表示："该威胁行为者利用二维码和通知弹窗，诱使受害者在移动设备上安装并执行恶意软件。该恶意应用程序会解密一个内嵌的加密APK文件，并启动一个提供远程访问木马功能的恶意服务。由于安卓系统默认阻止安装来源不明的应用并显示安全警告，威胁行为者声称该应用是安全、官方的版本，以此欺骗受害者忽略警告并安装恶意软件。"

据该公司称，其中一些恶意软件伪装成包裹快递服务应用。据评估，威胁行为者正在使用冒充快递公司的短信钓鱼或钓鱼邮件，诱骗收件人点击托管着恶意应用的恶意网址。

这次攻击的一个值得注意的特点是使用基于二维码的移动重定向。当用户从桌面电脑访问网址时，会提示他们在安卓设备上扫描页面显示的二维码，以安装所谓的包裹追踪应用并查询状态。该二维码设计用于将用户重定向到"tracking.php"脚本，该脚本实现服务器端逻辑，检查浏览器的User-Agent字符串，并显示一条消息，借口因所谓的"国际海关安全政策"需要验证身份，敦促他们安装"安全模块"。

如果受害者继续安装该应用，便会从服务器（"27.102.137[.]181"）下载一个APK包（"SecDelivery.apk"）。然后，该APK文件会解密并加载嵌入其资源中的加密APK，以启动新版本的DocSwap，但在此之前会先确认其已获得读取和管理外部存储、访问互联网以及安装其他软件包的必要权限。

ENKI表示："一旦确认所有权限，它会立即将新加载APK的MainService注册为'com.delivery.security.MainService'。在服务注册的同时，基础应用程序会启动AuthActivity。该活动伪装成一次性密码（OTP）认证界面，并使用快递单号验证用户身份。"

快递单号在APK中硬编码为"742938128549"，很可能与恶意网址在初始访问阶段一同传递。一旦用户输入提供的快递单号，应用程序将生成一个随机的六位数验证码并作为通知显示，随后提示用户输入生成的验证码。

验证码一经输入，应用程序就会打开一个指向合法网址"www.cjlogistics[.]com/ko/tool/parcel/tracking"的WebView。与此同时，木马会在后台连接到攻击者控制的服务器（"27.102.137[.]181:50005"），并接收多达57条命令，使其能够记录键盘输入、捕获音频、开始/停止摄像头录制、执行文件操作、运行命令、上传/下载文件，以及收集位置信息、短信、联系人、通话记录和已安装应用列表。

ENKI表示，还发现了另外两个伪装样本：一个是P2B空投应用，另一个是被木马化的合法VPN程序BYCOM VPN（"com.bycomsolutions.bycomvpn"）的版本。该VPN程序在Google Play商店中提供，由一家名为Bycom Solutions的印度IT服务公司开发。安全公司补充道："这表明威胁行为者向合法的APK中注入了恶意功能，并重新打包用于攻击。"

对威胁行为者基础设施的进一步分析，发现了模仿韩国Naver和Kakao等平台的钓鱼网站，旨在窃取用户凭证。这些网站被发现与先前Kimsuky针对Naver用户的凭证窃取活动存在关联。

ENKI表示："执行的恶意软件会启动一个RAT服务，类似于过去的案例，但展示了进化的能力，例如使用新的原生函数来解密内部APK，并融合了多种伪装行为。"

...