文章总结： 本文揭露了朝鲜黑客组织Kimsuky利用二维码钓鱼攻击传播DocSwap安卓木马的技术细节。攻击者伪造物流网站诱导用户下载恶意APK，该APK通过动态解密加载内层恶意载荷，并利用假验证界面掩护后台连接C2服务器。该木马具备RAT功能，支持57种指令窃取隐私与控制设备。Kimsuky负责初始入侵并与Lazarus联动，建议用户警惕非官方下载及审查应用权限，企业需重视移动端安全。 综合评分： 91 文章分类： 移动安全,恶意软件,漏洞分析,威胁情报,社会工程学

扫个码就能接管手机？揭秘朝鲜黑客 Kimsuky 最新的“物流杀猪盘”

原创

Kit Chung

安全圈动向

2025年12月25日 07:53 广东

大家好。

你今天扫了几次二维码？点餐、付款、加好友……在这个“万物皆可扫”的时代，二维码几乎成了我们通过数字世界的传送门。

但如果我告诉你，为了查个快递，你随手扫的一个码，不仅送不来包裹，还能把你的手机变成黑客手中的“提线木偶”，你信吗？

最近，知名的朝鲜黑客组织 Kimsuky 就搞了这么一出“大戏”。他们不仅把社工（Social Engineering）玩出了花，在技术实现上也是极其刁钻。作为一名在 IT 圈摸爬滚打多年的老兵，我看完 ENKI 的分析报告后，还是有点后怕的。

今天，我们就抛开那些虚头巴脑的新闻报道，直接下钻到代码和协议层面，看看这个名为 DocSwap 的安卓木马到底是怎么绕过重重防线，潜入用户手机的。

01 精心设计的“跨端”陷阱：Quishing (二维码钓鱼)

这次攻击最让我觉得“鸡贼”的地方，在于它对场景的把控。

以往的钓鱼（Phishing）多半是发个邮件让你点链接。但这次，Kimsuky 瞄准了桌面端到移动端的转化。

• 诱饵

  他们伪造了韩国 CJ 物流（CJ Logistics）的网站。

• 筛选

  当你用电脑访问这个钓鱼网站时，页面会提示你：“需要手机扫码下载 App 才能查看物流详情”。

• 重定向逻辑

  你以为扫的是下载链接？不全对。

当你扫描二维码时，会跳转到一个 tracking.php 的脚本。这个脚本在服务端做了一个关键的动作：User-Agent 嗅探。

• 如果是桌面浏览器访问，它可能显示无害内容或继续诱导。
• 一旦检测到你是 Android 设备，它立刻弹窗警告，谎称为了符合“国际海关安全政策”，你必须下载一个所谓的“安全模块”来验证身份。

技术点拨：

这种基于 User-Agent 的重定向是很多恶意软件逃避自动化沙箱检测的常用手段。很多桌面端的安全扫描器不会模拟手机环境，因此很容易漏掉这个恶意 APK 的下载链接。

02 核心技术拆解：恶意 APK 的“套娃”战术

受害者一旦信以为真，下载了一个名为 SecDelivery.apk 的安装包。好戏才刚刚开始。

我们要知道，Android 系统默认是禁止安装“未知来源”应用的，而且会弹出红色的安全警告。黑客怎么破？全靠一张嘴——他们诱导用户这是“官方安全发布”，让用户手动关闭安全设置。

但真正的技术亮点在代码内部：

1. 动态解密与加载 (The Decryption Routine)

这个 SecDelivery.apk 实际上只是个外壳（Loader）。它本身并不包含核心恶意代码，这招是为了绕过静态杀毒引擎。

当 App 运行时，它会执行以下操作：

1. 从资源文件中读取一个加密的 APK 文件。
2. 在内存中进行解密。
3. 利用 Android 的动态加载机制，将这个解密后的 APK 加载起来。

这个被隐藏的内部 APK，才是真正的恶魔——新版 DocSwap 木马。

2. 服务注册与提权

解密后的 APK 既然要在后台搞事情，就必须有一个常驻服务。代码分析显示，它会立即注册一个名为 com.delivery.security.MainService 的服务。

但在启动服务前，它会进行一轮严密的权限自检：

• 读写外部存储（为了窃取文件）
• 访问互联网（为了回传数据）
• 安装其他包（为了后续投放更多木马）

只有拿到这些权限，它才会露出獠牙。

03 影帝级别的伪装：AuthActivity 与硬编码

为了不让用户起疑，这个木马还演了一出“全套戏”。

当恶意服务在后台悄悄启动时，前台会启动一个 AuthActivity。这是一个伪装得极像的正规 OTP（一次性密码）验证界面，要求用户输入快递单号。

这里有个非常有意思的技术细节：

研究人员在反编译 APK 后发现，有一个硬编码的快递单号：“742938128549”。

这个单号很可能是在最初的钓鱼链接里就提供给受害者的。当用户输入这个号码后，App 会假装生成一个 6 位数的验证码。一旦你输入验证码：

1. 前台

   WebView 打开真正的 CJ 物流官网 (cjlogistics.com)，让你看到真实的物流查询页面，彻底打消你的疑虑。

2. 后台

   木马已经悄悄连接到了 C2 服务器（27.102.137[.]181:50005）。

这就是典型的“前台演戏，后台窃密”。

04 恐怖的 RAT 能力：57 条指令

连上 C2 服务器后，这个设备就彻底沦陷了。DocSwap 本质上是一个功能强大的 RAT (Remote Access Trojan，远程访问木马)。

分析通信协议发现，它支持多达 57 种不同的指令，涵盖了你手机隐私的方方面面：

• 监听类

  录音、开启摄像头录像。

• 窃取类

  读取短信（SMS）、联系人、通话记录、已安装应用列表。

• 控制类

  键盘记录（Keylogging）、文件上传/下载、执行 Shell 命令。

这意味着，你的手机不仅是你的，也是黑客的“监控探头”。

05 细思极恐：Kimsuky 与 Lazarus 的“双引擎”联动

如果这仅仅是一个独立的攻击，可能还没那么可怕。但安全公司 ENKI 和 Purple Team 的情报显示，事情没那么简单。

Kimsuky 隶属于朝鲜侦察总局（RGB），他们通常扮演“侦察兵”的角色。他们负责初始入侵、绘制网络地图、窃取凭证。

而一旦他们拿到了高价值目标的访问权，就会将数据实时同步给臭名昭著的 Lazarus Group。Lazarus 可是搞钱的行家（大家应该记得之前的加密货币大劫案）。

这是一个分工明确的流水线：

• Kimsuky

  利用 DocSwap 这种木马，广泛撒网，通过钓鱼拿到初始权限和敏感信息（如 NPKI/GPKI 银行证书）。

• Lazarus

  利用这些信息，配合高危漏洞（如最近 Windows 的 AFD.sys 提权漏洞），进行横向移动，最终窃取加密货币或机密数据。

这种“双引擎”模式，让攻击的精确度和破坏力呈指数级上升。

写在最后：技术人的自我修养

看完这个案例，作为技术人员，我们能学到什么？

1. 不要轻信“安全模块”

   任何要求你为了“安全”而下载非应用商店 APK 的行为，99.9% 都是诈骗。

2. 关注 Android 权限

   如果一个物流 App 要求录音、摄像头或者“安装其他应用”的权限，直接卸载，不要犹豫。

3. 企业安全边界的延伸

   现在的攻击早就跨越了桌面和移动端。我们在做企业安全建设时，不能只盯着办公电脑，员工的移动设备（BYOD）往往是那个被忽视的缺口。

技术是把双刃剑。黑客在进化，我们作为防守方，更要时刻保持对底层原理的敏感度。

如果你觉得这篇文章对你有帮助，欢迎点赞、在看、转发，让更多人看到技术的真相。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung《扫个码就能接管手机？揭秘朝鲜黑客 Kimsuky 最新的“物流杀猪盘”》