O objetivo principal é a instalação de um novo malware denominado "DocSwap", que funciona como um Trojan de Acesso Remoto (RAT).

A estratégia de ataque inicia-se com sites de phishing que mostram notificações falsas sobre o rastreio de encomendas pendentes. Quando o utilizador acede a estas páginas através de um computador, é incentivado a digitalizar um QR Code com o seu telemóvel para, supostamente, descarregar a aplicação oficial de acompanhamento. No entanto, este processo descarrega um ficheiro APK malicioso que contorna as defesas do sistema sob o pretexto de cumprir "políticas de segurança alfandegária".

Uma vez infetado, o dispositivo fica totalmente exposto, pois o malware DocSwap possui capacidades de espionagem muito abrangentes. O código malicioso consegue registar tudo o que é digitado (keylogging), capturar áudio através do microfone, controlar a câmara e aceder a mensagens SMS e contactos. Além disso, permite o rastreio da localização GPS da vítima em tempo real, enviando todos estes dados para os servidores dos atacantes.

Para evitar levantar suspeitas imediatas, a aplicação falsa chega a abrir o site real da empresa de entregas enquanto executa as suas funções de espionagem em segundo plano. Os investigadores descobriram ainda que o grupo está a adulterar aplicações legítimas, como VPNs e serviços de criptomoedas, injetando o malware antes de as distribuir em plataformas de terceiros. Esta tática demonstra uma evolução clara na sofisticação das ferramentas de vigilância móvel do grupo.

Para a comunidade da Wintech, este caso é um aviso crítico sobre os perigos do "Quishing" (phishing por QR Code). A recomendação de segurança fundamental passa por nunca instalar aplicações fora da Google Play Store e desconfiar de pedidos de instalação que surjam através de sites desconhecidos ou códigos QR. A proteção dos dados pessoais depende da vigilância constante sobre as permissões solicitadas pelas aplicações no smartphone.