Wie denkt dat QR codes vooral een handig bruggetje zijn tussen een scherm en een smartphone, ziet over het hoofd hoe snel diezelfde route kan worden omgebogen tot een stille installatie van spionagesoftware. Onderzoekers van het Zuid Koreaanse ENKI koppelen een nieuwe campagne aan de Noord Koreaanse actor Kimsuky, waarbij phishingpagina’s zich voordoen als een bekende logistieke dienst en bezoekers met meldingen en QR codes naar een zogenaemde bezorgapp lokken. De truc werkt juist omdat de pagina op desktop een QR code toont die de gebruiker zelf met een Android toestel scant, waardoor het moment van wantrouwen vaak al voorbij is.
De aanval leunt op sociale frictie, want Android waarschuwt standaard bij apps buiten de officiële winkel, maar de campagne probeert dat weg te praten met taal die veiligheid en identificatie belooft. Na installatie presenteert de app een ogenschijnlijk normale verificatieflow die lijkt op een eenmalige code, en schuift daarna zelfs een legitieme trackingpagina naar voren om de illusie van echtheid vast te houden. Achter dat decor wordt een verborgen component geladen die de telefoon als het ware openzet, met mogelijkheden om data te verzamelen en functies op afstand te bedienen.
ENKI beschrijft ook varianten die niet alleen op bezorgangst mikken, maar zich voordoen als een airdrop app en zelfs als een aangepaste versie van een bestaande VPN app, wat past bij een breder patroon waarin mobiele lokmiddelen steeds wisselen per doelgroep. Daarnaast zijn er phishingomgevingen aangetroffen die bekende Zuid Koreaanse platforms imiteren om inloggegevens te oogsten, met infrastructuuroverlap met eerdere credential campagnes die aan dezelfde actor worden gelinkt. Het beeld dat ontstaat is een keten die begint met geloofwaardige branding en eindigt bij accounttoegang, toesteltoegang en daarmee toegang tot alles wat mensen op hun telefoon bewaren.
Avigdor, het Surinaamse cybersecuritybedrijf, waarschuwt de samenleving hiervoor, omdat QR-gebruik, pakketbezorging, bankieren en tweefactorauthenticatie via sms juist steeds sneller normaliseren, waardoor de smartphone het centrale toegangsbewijs van het dagelijks leven wordt. Organisaties die hun reputatie willen beschermen, winnen vaak het meest door een simpele norm hard te maken, namelijk dat apps alleen via officiële stores en beheerde bedrijfsinstallaties worden toegestaan, met training die medewerkers leert dat een QR code geen bewijs van echtheid is. Burgers die hun risico laag willen houden, merken meestal dat het verschil zit in routine, geen onbekende app installeren, permissies kritisch lezen, en bij twijfel via het officiële kanaal van de bezorgdienst of bank zelf te controleren in plaats van via een link of QR code uit een bericht.
