PR

KimsukyがQRでDocSwap拡散、配送アプリ装うAndroid攻撃

Security

Source:https://thehackernews.com/2025/12/kimsuky-spreads-docswap-android-malware.html

🛡 概要

北朝鮮系脅威アクター「Kimsuky」による新キャンペーンが確認された。ソウル本社の物流企業を装ったフィッシングサイト上にQRコードを掲出し、Android向けマルウェア「DocSwap」の新亜種を配布する。被害者は偽の配送追跡アプリをインストールするよう誘導され、内部で復号された別APKの常駐サービスが遠隔操作機能(RAT)を提供する。インフラとして 27.102.137[.]181(ポート50005)や、配送追跡を装うページ、偽の本人確認モジュールが用いられる。CVSS/CVEは本件キャンペーンに固有のものは公開されていない。

🔍 技術詳細

攻撃は、宅配会社を騙るスミッシングやフィッシングメールで不正URLへ誘導するところから始まる。被害者がPCでURLにアクセスすると、ページはQRコードを表示し、スマートフォンでのスキャンを促す。QR先は「tracking.php」によってユーザーエージェントを判定し、国際通関の安全対策を偽装した「セキュリティモジュール」導入を求める社会工学を行う。

同意するとサーバ(27.102.137[.]181)から「SecDelivery.apk」が配布され、アプリは自身のリソースに埋め込まれた暗号化APKを復号・読み込み、新版DocSwapを起動する。その前段として、外部ストレージの読み書き、インターネットアクセス、追加パッケージのインストールなどの権限が取得されていることを確認する。条件が満たされると、読み込んだAPKのメインサービスを「com.delivery.security.MainService」として登録し、同時にOTP認証に見せかけた画面(AuthActivity)を表示する。配送番号はアプリ内に固定値(例:742938128549)として埋め込まれており、ユーザーがそれを入力するとランダムな6桁コードを通知として生成し、再入力を促す。認証完了後は正規の配送追跡ページ(例:cjlogisticsの追跡URL)をWebViewで開くため、ユーザーは不審に気づきにくい。

その裏でトロイの木馬は攻撃者サーバ 27.102.137[.]181:50005 に接続し、最大57種のコマンドを受信できる。観測された機能には、キーボード入力の取得、音声録音、カメラ録画の開始/停止、ファイル操作、任意コマンドの実行、ファイルの送受信、位置情報・SMS・連絡先・通話履歴・インストールアプリ一覧の収集が含まれる。さらに、P2B Airdropアプリや、インドの正規開発者によるBYCOM VPNの正規APKを改造・再パッケージ化した不正版など、別名義のサンプルも確認されている。加えて、NaverやKakaoを模したフィッシングサイト群が同一基盤で運用され、資格情報詐取と組み合わされる。

今回の特徴は、QRコード起点のスマホ誘導、偽の身元確認フロー、埋め込み暗号化APKの動的復号・読み込み、正規Webページでのカモフラージュといった多層の偽装である。Androidの既定設定では提供元不明アプリのインストール時に警告が出るが、攻撃者は「正規版で安全」と強調して警告を無視させる社会工学を用いる。なお、本件はキャンペーンに関する報告であり、個別の脆弱性(CVE)悪用の証拠は示されていない。

⚠ 影響

  • 端末内データ(SMS含む)の窃取により、ワンタイムコード等の二要素認証迂回リスク
  • 通話履歴・連絡先・位置情報・ファイル流出による個人・業務情報漏えい
  • 企業アカウントやSaaSへの不正アクセスの足掛かり(モバイルがIdPやメールに接続している場合)
  • 配送会社や社名を騙るブランド毀損、顧客・社員への二次被害拡大

🛠 対策

  • EMM/MDMで提供元不明アプリ禁止、Managed Google Playのみ許可(BYODは仕事用プロファイルを強制)
  • モバイル脅威防御(MTD)を導入し、サイドロード・動的コード読み込み・過剰権限・C2通信の挙動検知
  • ネットワークで既知IOC(27.102.137[.]181:50005、tracking.php への誘導)をブロックし、DNS/HTTPプロキシ監視を実施
  • メール/SMSセキュリティで不在通知・関税・本人確認等を装う文面のURL/QRを検査
  • ユーザー教育:QRコードでアプリ導入させる手口、配送追跡は公式アプリ/ストアからのみ、警告は無視しない
  • 端末の最新化(Androidセキュリティパッチ)、Play Protect有効化、アプリ許可の最小化

📌 SOC視点

  • プロキシ/ファイアウォール/EDRの送信先ログで 27.102.137[.]181:50005 への異常通信、IP直指定のTLSを相関
  • Webアクセスログで tracking.php へのアクセス後にAPKダウンロードが生じていないかを時系列分析
  • EMMログで「提供元不明のアプリ許可」設定変更、サイドロードイベント、パッケージ名やラベルに「Delivery」「Security」を含む新規インストール
  • 端末からの権限要求(外部ストレージ、インターネット、追加パッケージインストール)の同時取得を検知ルール化
  • アプリ内サービス名「com.delivery.security.MainService」起動のテレメトリ(取得可能なMTD/EDRで)
  • メール・SMSゲートウェイでQR画像や短縮URLを含む配送系テンプレートの検知強化

📈 MITRE ATT&CK

  • 初期アクセス(フィッシング/スミッシング/悪性リンク):QRコードと偽配送サイトでユーザーにリンク踏ませるため(根拠:QR誘導と通知ポップアップ)
  • 実行(ユーザー実行):警告を無視させてAPKを手動インストール(根拠:提供元不明アプリの警告を「安全」と偽る)
  • 常駐化(バックグラウンドサービス):MainServiceを登録して持続的に動作(根拠:サービス登録の記述)
  • 防御回避(偽装・正規サイト表示):正規の追跡ページをWebViewで開き痕跡を隠す(根拠:認証後に正規URLを表示)
  • 権限昇格/権限取得(過剰権限要求):ストレージ・インターネット・パッケージ操作などを取得(根拠:起動前に権限確認)
  • 資格情報取得(フィッシング):Naver/Kakao模倣サイトでID・PW詐取(根拠:関連フィッシング基盤)
  • 情報収集(端末データ収集):SMS、連絡先、通話履歴、位置、インストールアプリ一覧収集(根拠:57コマンドの機能)
  • コレクション(オーディオ/カメラ/キーボード):録音・録画・キーログ(根拠:RAT機能に明記)
  • コマンド&コントロール(外部C2):攻撃者サーバへの永続接続とコマンド受信(根拠:27.102.137[.]181:50005 接続)
  • データ流出(C2チャネルでの送信):ファイルアップロード/ダウンロード(根拠:RAT機能)

🏢 組織規模別助言

  • 小規模(〜50名):仕事用/私用分離の徹底、未知のアプリ禁止のMDMテンプレートを迅速適用。配送通知の業務フローを明文化し、IT窓口に確認する導線を周知。
  • 中規模(50〜500名):Managed Google Playの私設ストアで公式アプリのみ配布。MTDを展開し、IOCブロックと自動隔離ポリシーを設定。人事・総務からの「配送通知」を装う社内連絡に関する模擬訓練を実施。
  • 大規模(500名以上):ゼロトラストの端末コンプライアンス連動(条件付きアクセス)で非準拠端末をSaaSから遮断。SOCでモバイル/ネットワーク/メールのテレメトリを相関し、QRフィッシング専用プレイブックを整備。

🔎 類似事例

  • 韓国内の宅配不在通知を装うQR/URLスミッシングを介したAndroid不正アプリ配布の継続的な事例
  • KimsukyによるNaverユーザーを狙った資格情報収集キャンペーンとの基盤重複
  • 正規VPN(BYCOM VPN)を改ざん・再パッケージ化したトロイの木馬版の配布

🧭 次の一手

  • モバイル端末管理(MDM/EMM)とMTDのポリシー点検:未知ソース禁止、許可アプリのホワイトリスト化
  • メール/SMS/チャットのURL・QR検査を強化し、配送通知テンプレートのサンドボックス評価を組み込む
  • IOC(IP、ファイル名、サービス名)をブロックリストへ即時反映し、過去90日の遡及検索を実施
  • 利用者向け短時間トレーニング:「QRでアプリを入れさせる手口は疑う」「公式ストアのみ」