DOCSWAP: Nordkoreanische Malware greift via QR-Codes an

Eine neue Android-Malware namens DOCSWAP infiziert Smartphones über manipulierte QR-Codes. Nordkoreanische Hacker nutzen gefälschte Paketbenachrichtigungen als Köder, wie Sicherheitsforscher heute berichten.

Die Hackergruppe Kimsuky setzt auf sogenanntes “Quishing”: Opfer erhalten SMS oder E-Mails, die angeblich von Logistikfirmen wie CJ Logistics stammen. Darin wird zum Scannen eines QR-Codes aufgefordert, um eine Sendung zu verfolgen. Der Code leitet jedoch auf eine Phishing-Seite, die zur Installation einer schädlichen App auffordert.

Die getarnte Malware nennt sich “SecDelivery.apk” oder ähnlich. Nach der Installation fordert sie umfangreiche Berechtigungen an und entpackt im Hintergrund ihre eigentliche Schadsoftware. Für den Nutzer zeigt sie weiterhin gefälschte Paketinformationen an – während im Verborgenen die Spionage beginnt.

Android‑Nutzer werden aktuell besonders oft über manipulierte QR‑Codes attackiert – eine schädliche APK kann Kamera, Mikrofon, SMS und Zwei‑Faktor‑Codes freigeben. Der kostenlose Android‑Einsteiger‑Guide zeigt Schritt für Schritt, wie Sie Ihr Gerät sicher einrichten, gefährliche APK‑Installationen erkennen, Google Play Protect aktivieren und eine einfache Checkliste für sichere QR‑Scans nutzen. Ideal für alle, die ihr Smartphone sofort schützen wollen. Jetzt kostenlosen Android‑Einsteiger‑Guide sichern

Die Malware fungiert als vollwertiger Remote Access Trojaner (RAT). Sie kann:
* Dateien stehlen und Kamera sowie Mikrofon aktivieren
* SMS-Nachrichten, Kontakte und Anruflisten auslesen
* Tastatureingaben (Keylogging) aufzeichnen

Besonders gefährlich: Die Malware kann auch Zwei-Faktor-Authentifizierungs-SMS für Online-Banking abfangen.

Staatliche Hacker weiten ihr Zielspektrum aus

Die Angriffe werden der nordkoreanischen Gruppe Kimsuky zugeschrieben, die mit dem militärischen Geheimdienst des Landes in Verbindung steht. Bislang spezialisierte sich die Gruppe auf Angriffe gegen Regierungen und Think Tanks. Die breite DOCSWAP-Kampagne markiert eine taktische Wende.

“Mobile Geräte werden nun als primäre Spionageziele betrachtet, nicht mehr nur als Beifang”, erklärt ein Sicherheitsanalyst. Die Malware wurde zunächst in Südkorea entdeckt, ist aber mittlerweile auch in Europa und Nordamerika aufgetaucht. Experten vermuten, dass die gestohlenen Daten entweder für Betrug genutzt oder verkauft werden, um staatliche Aktivitäten zu finanzieren.

Warum die Falle jetzt so gut funktioniert

Die Bedrohung kommt zur richtigen Zeit: QR-Codes sind allgegenwärtig – beim Bezahlen, in Restaurants oder für E-Scooter. Die Hemmschwelle, einen Code zu scannen, ist extrem niedrig. Gleichzeitig steigt das Paketaufkommen, besonders in der Weihnachtszeit. Gefälschte Lieferbenachrichtigungen wirken daher besonders glaubwürdig.

Im Vergleich zu reinen Banking-Trojanern zielt DOCSWAP weniger auf direkten Gelddiebstahl ab, sondern auf umfassende Datenspionage. Das macht die Malware auch zur Gefahr für Unternehmen, deren Mitarbeiter private Smartphones nutzen.

So schützen Sie sich vor der QR-Code-Falle

Sicherheitsexperten raten zu erhöhter Vorsicht und konkreten Maßnahmen:

• Keine Apps über QR-Codes installieren: Seriöse Lieferdienste fordern nie zum Download einer APK-Datei von einer Webseite auf. Nutzen Sie ausschließlich den offiziellen Google Play Store.
• Quellen hinterfragen: Scannen Sie QR-Codes nur, wenn Sie der Quelle absolut vertrauen. Prüfen Sie bei unbekannten Codes die versteckte URL, bevor Sie sie öffnen.
• Warnungen ernst nehmen: Brechen Sie die Installation sofort ab, wenn Android vor einer “unbekannten Quelle” warnt.
• Schutz aktivieren: Stellen Sie sicher, dass Google Play Protect auf Ihrem Gerät eingeschaltet ist.

Sicherheitsunternehmen haben ihre Signaturen bereits aktualisiert, um DOCSWAP zu erkennen. Der Fall zeigt jedoch deutlich: Der Komfort des schnellen Scans hat im Jahr 2025 seinen Preis – er kann die komplette Kontrolle über Ihr Smartphone bedeuten.

PS: Wenn Sie verhindern wollen, dass Spionage‑Malware wie DOCSWAP Ihre Fotos, Nachrichten oder 2‑FA‑Codes stiehlt, hilft oft die richtige Grundeinrichtung. Das kostenlose Android‑Startpaket bietet ein leicht verständliches Schritt‑für‑Schritt‑Training plus einen 5‑teiligen E‑Mail‑Kurs, mit dem Sie App‑Quellen, Sicherheits‑Einstellungen und Google Play Protect korrekt setzen. Ideal für Einsteiger und alle, die ihr Handy sofort sicherer machen möchten. Gratis Android‑Schutzkurs & PDF anfordern