Stampa

Truffa QR su Android: finta app consegne installa DocSwap RAT e svuota dati, SMS e fotocamera

Una nuova campagna di phishing tramite QR code sta prendendo di mira utenti Android distribuendo il malware DocSwap, mascherato da app di tracciamento spedizioni. Gli attaccanti utilizzano siti di phishing che imitano un noto corriere logistico e combinano messaggi smishing o email di phishing con pagine web esca, progettate per spingere la vittima a installare manualmente un file APK fuori dagli store ufficiali.

La tecnica si basa su un reindirizzamento mobile tramite QR code. Quando un utente visita il link da desktop, la pagina mostra un QR code da scansionare con lo smartphone per installare la presunta app di consegna e verificare lo stato della spedizione. Il QR code porta a uno script che controlla il tipo di dispositivo e, su Android, visualizza un avviso che invita a installare un modulo di sicurezza, presentato come necessario per la verifica dell’identità e per presunte politiche di sicurezza doganale.

Dopo il download, viene proposto un pacchetto APK chiamato SecDelivery.apk. Una volta eseguito, il componente principale decripta un secondo APK cifrato incorporato nelle risorse e avvia un servizio malevolo con funzionalità RAT, cioè un trojan di accesso remoto. Prima di attivarsi, il malware richiede permessi estesi come lettura e gestione della memoria esterna, accesso a Internet e installazione di pacchetti aggiuntivi, facendo leva sul fatto che Android mostra avvisi quando si installano app da origini sconosciute. La pressione psicologica e la finta legittimità dell’app servono a far ignorare questi avvertimenti.

Per rendere credibile la truffa, l’app mostra una schermata che imita un controllo OTP e chiede un numero di consegna. Dopo l’inserimento, genera un codice di verifica a sei cifre e lo mostra come notifica, chiedendo poi di reinserirlo. A quel punto apre in WebView una pagina reale di tracking, mentre in background si connette a un server controllato dagli attaccanti e riceve decine di comandi.

Funzionalità osservate
  • Keylogging
  • Acquisizione audio
  • Avvio e stop della fotocamera
  • Gestione file
  • Esecuzione comandi
  • Upload e download
  • Raccolta di posizione
  • Accesso a SMS, contatti, registro chiamate
  • Elenco delle app installate

Sono stati osservati anche campioni camuffati da app di airdrop e una versione trojanizzata di una VPN legittima, segnale di tecniche di repackaging e possibili scenari di supply chain.

, , , ,