Kimsuky nutzt QR-Codes für raffinierten Android-Spionageangriff

Nordkoreanische Hacker kapern Smartphones über gefälschte Paketbenachrichtigungen. Die Gruppe Kimsuky lockt Nutzer mit einer neuen QR-Code-Masche auf mobile Ger

Börse Express

Heute, 15:00 Uhr

Beitragsbild zu Kimsuky nutzt QR-Codes für raffinierten Android-Spionageangriff

Nordkoreanische Hacker kapern Smartphones über gefälschte Paketbenachrichtigungen. Die Gruppe Kimsuky lockt Nutzer mit einer neuen QR-Code-Masche auf mobile Geräte und installiert die Spionagesoftware DocSwap. Diese Attacke umgeht gezielt Sicherheitsvorkehrungen auf Desktop-Computern.

Vom PC-Warnhinweis zur Handy-Infektion

Der Angriff beginnt harmlos: Nutzer in Südkorea erhalten SMS oder E-Mails, die angeblich von großen Logistikfirmen wie CJ Logistics stammen. Klickt man den Link am Computer an, erscheint keine Malware. Stattdessen zeigt die Seite einen täuschend echten Warnhinweis: „Diese Seite kann nicht auf einem PC angezeigt werden“. Die Lösung? Einen präsentierten QR-Code mit dem Smartphone scannen.

„Das ist ein kalkulierter Schachzug“, analysieren Forscher des ENKI WhiteHat Threat Research Teams. „Das Opfer wird aus einer möglicherweise geschützten Desktop-Umgebung auf ein verwundbareres Mobilgerät gelockt.“ Scannt man den Code, landet man auf einem Server, der die Schadsoftware „SecDelivery.apk“ anbietet – getarnt als legitimes Sicherheitstool oder Paket-Tracker.

Gefälschte Paketbenachrichtigungen und QR‑Codes sind ein beliebter Einstiegspunkt für Phishing‑Kampagnen — wie dieser Artikel zeigt. Das kostenlose Anti‑Phishing‑Paket erklärt in vier klaren Schritten, wie Sie Quishing-Angriffe erkennen, manipulierte QR‑Codes prüfen und infizierte APK‑Downloads verhindern. Enthalten sind Praxis-Checklisten für Privatnutzer und Hinweise für IT‑Verantwortliche, damit mobile Geräte nicht zur Einfallspforte werden. Ideal für alle, die ihr Smartphone sicher nutzen wollen. Anti‑Phishing‑Paket jetzt kostenlos herunterladen

DocSwap: Die unsichtbare Spionage-App

Hinter der Fassade verbirgt sich eine aktualisierte Variante des Remote Access Trojaners DocSwap. Die Malware hat ihre Tarnung verbessert. Sie nutzt nun eine neu entwickelte native Entschlüsselungsfunktion statt der bisherigen Java-basierten XOR-Verschlüsselung. Das macht die Erkennung durch automatisierte Sicherheitstools schwieriger.

Einmal installiert, entschlüsselt die App eine eingebettete APK-Datei. Diese baut eine Verbindung zum Command-and-Control-Server auf. Von dort aus erhalten die Angreifer umfassende Kontrolle. DocSwap kann sensible Daten stehlen, Audio aufzeichnen, Tastatureingaben protokollieren und Dateien abgreifen. Aus dem infizierten Android-Gerät wird ein vollwertiges Spionagewerkzeug.

Die Angreifer halten die Illusion einer echten Sendungsverfolgung aufrecht. Analysten fanden hartkodierte Paketnummern wie „742938128549“ im Code der APK. Die Verteilungsserver wurden mit der IP-Adresse 27.102.137[.]181 verknüpft.

Warum QR-Codes zum Sicherheitsrisiko werden

Die Kampagne zeigt, wie sich QR-Phishing – oder „Quishing“ – zu einem ernsthaften Bedrohungsvektor entwickelt. Bis Ende 2025 verzeichnen Sicherheitsanbieter einen starken Anstieg solcher Angriffe. QR-Codes überbrücken die Lücke zwischen physischen oder Desktop-Umgebungen und Mobilgeräten, die oft weniger robusten Virenschutz haben.

„Der Einsatz von QR-Codes ist kein Gimmick, sondern ein Umgehungsmechanismus“, erklären Sicherheitsexperten von The Hacker News. „Indem der Nutzer zum Gerätewechsel gezwungen wird, durchbricht der Angreifer die Überwachungskette vieler Unternehmenssicherheitstools.“ Diese Tools könnten zwar E-Mail-Links prüfen, aber keinen physischen QR-Code auf einem Bildschirm scannen.

Die Tarnung als Logistikdienstleister ist besonders während der Feiertage effektiv. Verbraucher erwarten dann vermehrt Sendungsbenachrichtigungen und schnelle Rückmeldungen.

Droht die nächste Angriffswelle?

Sicherheitsexperten rechnen damit, dass „Quishing“-Taktiken bald über Logistik-Attrappen hinausgehen. Denkbar sind Nachahmungen von Multi-Faktor-Authentifizierungseinrichtungen (MFA) oder HR-Dokumentenportalen in Unternehmen.

Als Schutzmaßnahmen raten Experten:
* QR-Codes kritisch prüfen: Nie Codes aus unerwünschten E-Mails oder von „Sicherheitswarnungen“ auf Websites scannen.
* Mobile Abwehr stärken: Unternehmen sollten Mobile Threat Defense-Lösungen einsetzen, die auch über QR-Codes gestartete URLs analysieren können.
* App-Hygiene beachten: Installationen aus Quellen außerhalb des offiziellen Google Play Stores vermeiden – besonders bei angeblichen „Sicherheits-Plugins“ zum Dokumentenbetrachten.

Die Kampagne wurde bereits im September 2025 entdeckt. Die aktuellen Analysen vom 17. und 18. Dezember zeigen jedoch, dass Kimsuky seine Taktiken deutlich verfeinert hat. Die Gruppe zielt gezielt auf südkoreanische Logistikinfrastruktur und Einzelpersonen ab.

PS: Sie möchten sich umfassend schützen? Das Anti‑Phishing‑Paket liefert konkrete Vorlagen und Maßnahmen, um gefälschte Sendungsverfolgungen zu enttarnen, Mobile Threats zu blockieren und Mitarbeiter für QR‑Risiken zu sensibilisieren. Die Schritt‑für‑Schritt‑Anleitungen lassen sich sofort umsetzen. Ideal für Unternehmen und Konsumenten, die QR‑Phishing vorbeugen wollen — inklusive Sofortmaßnahmen für Android‑Geräte, einer Checkliste zur sicheren App‑Hygiene und kostenfreiem E‑Mail‑Download. Jetzt Anti‑Phishing‑Paket kostenlos sichern

Verwandte Artikel

DroneShield Aktie: Großauftrag

Cisco-Alarm und KI-Scams: Der perfekte Sturm für Cybersicherheit

DroneShield Aktie: Geschäftsumfeld betrachtet

Quantum eMotion Aktie: Klarer Aufwärtstrend

Cyberkriminelle umgehen Zwei-Faktor-Authentifizierung mit neuen Tricks