DocSwap Android Malware – Bedrohungsübersicht

DocSwap ist eine neu entdeckte Android-Malware, die dem nordkoreanischen Bedrohungsakteur Kimsuky zugeschrieben wird. Die Malware wurde erstmals im Dezember 2025 gemeldet und wird über QR-Code-Phishing-Kampagnen verbreitet, die legitime Logistik- und Zollbenachrichtigungen imitieren, insbesondere solche, die mit dem südkoreanischen Lieferunternehmen CJ Logistics in Verbindung stehen. Im Gegensatz zu Ransomware verschlüsselt DocSwap keine Dateien und erpresst keine Zahlungen von Opfern. Stattdessen ist sie für verdeckte Überwachung, Diebstahl von Zugangsdaten und langfristigen Zugriff auf kompromittierte mobile Geräte konzipiert.

Informationen zu „DocSwap Android Malware“

Infektionsvektor und Bereitstellungstechnik

Die Infektionskette beginnt typischerweise mit Smishing-Nachrichten oder Phishing-E-Mails, die als Versandaktualisierungen oder Zollsicherheitswarnungen getarnt sind. Die Opfer werden auf eine bösartige Website weitergeleitet, die einen QR-Code anzeigt, wenn sie von einem Desktop-Gerät aus aufgerufen wird. Das Scannen dieses QR-Codes auf einem Android-Telefon leitet den Benutzer auf eine Seite weiter, die ihn auffordert, eine angebliche Sendungsverfolgungs- oder Sicherheitsverifizierungsanwendung zu installieren.

Um die Standard-Sicherheitswarnungen von Android zu umgehen, behaupten die Angreifer fälschlicherweise, dass die Anwendung eine offizielle Version ist, die erforderlich ist, um internationale Versand- oder Zollbestimmungen einzuhalten. Nach der Installation entschlüsselt und lädt die Anwendung eine eingebettete, verschlüsselte APK-Payload und registriert einen bösartigen Hintergrunddienst, ohne dass der Benutzer dies bemerkt.

Funktionen und Verhalten nach der Infektion

• DocSwap setzt einen voll funktionsfähigen Remote Access Trojan ein, der Angreifern die dauerhafte Kontrolle über das infizierte Gerät ermöglicht.
• Die Malware kann Tastenanschläge protokollieren, SMS-Nachrichten abfangen und Einmalpasswörter erfassen, die für die Zwei-Faktor-Authentifizierung verwendet werden.
• Zu den zusätzlichen Funktionen gehören das Aufzeichnen von Audio, das Aktivieren der Kamera, das Sammeln von Standortdaten und der Zugriff auf Kontakte und Anruflisten.
• Der Trojaner unterstützt die Ausführung von Remote-Befehlen und Datei-Upload-/Download-Operationen.
• Um Verdacht zu vermeiden, zeigt die App legitime CJ Logistics-Tracking-Seiten an, während bösartige Aktivitäten im Hintergrund ablaufen.

Bedrohungskontext und Risikobewertung

DocSwap verdeutlicht eine breitere Verlagerung hin zu mobilzentrierten Spionagekampagnen, die die weitverbreitete Verwendung von QR-Codes im alltäglichen Geschäftsbetrieb ausnutzen. Indem sie Opfer aus gesicherten Unternehmensumgebungen auf persönliche Android-Geräte umleiten, können Angreifer traditionelle E-Mail-Filter- und Endpunktschutzmechanismen umgehen. Diese Technik ist besonders effektiv in der Logistik, der Lieferkette und in Compliance-orientierten Branchen, in denen QR-Codes häufig als Teil routinemäßiger Arbeitsabläufe gescannt werden.

Fazit

Obwohl DocSwap keine Ransomware ist, stellt sie aufgrund ihrer Tarnung, Persistenz und umfangreichen Überwachungsfunktionen eine erhebliche Cyberbedrohung dar. Erfolgreiche Infektionen können zu kompromittierten Zugangsdaten, unbefugtem Zugriff auf Unternehmenssysteme und längerer Spionagetätigkeit ohne sofortige Erkennung führen.

Als Spezialisten für hochwirksame Cybervorfälle unterstützen wir Unternehmen, die mit fortgeschrittenen Bedrohungen konfrontiert sind, durch schnelle Eindämmung, Untersuchung und Reaktion über unseren Incident Response Retainer. Die frühzeitige Erkennung und das entschlossene Handeln bleiben entscheidend, um die Exposition zu begrenzen und eine weitere Eskalation zu verhindern.

Letzte Aktualisierung: 19. Dezember 2025