MoqHao Malware

Smishing-kampagne leveret mod sydkoreanske Android-brugere leverer en ny banktrojan med navnet MoqHao Malware. De mistænkelige lokke-SMS-beskeder indeholder forkortede webadresser, der fører til en falsk Chrome Android-app. Før dette har JavaScript imidlertid til opgave at kontrollere brugeragenten for den browser, der får adgang til linket. Android-enheder vil blive præsenteret med en falsk advarsel om en ny Chrome-opdatering, der faktisk er den våbenapplikation, mens enhver anden type enhed omdirigeres mod sikkerhedssiden til Naver, en populær sydkoreansk online platform.

Når den downloadede APK udføres, vil den bede om brede tilladelser på enheden, såsom muligheden for direkte at ringe til telefonnumre, læse kontakter og SMS-beskeder. Desuden vil MoqHao forsøge at etablere en persistensmekanisme ved gentagne gange at bede brugeren om enhedsadministratorrettigheder. Når den er installeret, viser Trojan kort et falsk ikon på startskærmen, der næsten er identisk med Google Chrome-logoet, før det skjuler det.

En truende funktionalitet

MoqHao er i stand til at udføre et bredt sæt skadelige aktiviteter på den kompromitterede enhed. Malwaren kan få adgang til brugerens kontakter og begynde at sende phishing-SMS-beskeder for yderligere at sprede sig selv. Det samler også følsomme oplysninger, der vil blive exfiltreret til Command-and-Control (C2, C&C) serveren til operationen. MoqHao kan også hente og downloade yderligere Android-apps fra sin server samt modtage fjernkommandoer.

Angrebskampagnen bruger en to-server-struktur. MoqHao opretter forbindelse til serveren i første fase og henter derefter dynamisk IP-adressen til anden trin server fra brugerprofilsiden af Baidu, den største søgemaskine i Kina. Under den første kommunikation med serveren i anden fase sender MoqHao en 'hej' besked, der indeholder forskellige oplysninger om den inficerede enhed: UUID, enheds-id, produktnavn, build-ID-streng, Android-versioner, SIM-status, telefonnummer osv. Bagefter udsender malware med bestemte intervaller yderligere detaljer såsom netværksoperatør, netværkstype, MAC-adresse, batteriniveau og meget mere.

Falske bankansøgninger

Hovedmålet med MoqHao er at stjæle brugerens bankoplysninger. Det scanner de kompromitterede enheder efter apps, der tilhører flere store sydkoreanske banker. Hvis sådanne apps opdages, downloader Trojan en falsk eller trojaniseret version fra sin C2-server. Derefter præsenterer brugeren en falsk advarsel om, at den målrettede app skal opdateres til en nyere version. Hvis brugeren falder for tricket, slettes den legitime app, og den våbenversion bliver installeret. De apps, der er målrettet mod MoqHao, inkluderer:

wooribank.pib.smart

kbstar.kbbank

ibk.neobanking

sc.danb.scbankapp

shinhan.banking

hanabank.ebk.channel.android.hananbank

smart

epost.psf.sdsi

kftc.kjbsmb

smg.spbs

Flere af de truende kapaciteter, der er udstillet af MoqHao Android-bank-trojanen, ser stadig ud til at være under udvikling. Faktisk er flere testversioner med varierende grad af sofistikering blevet katalogiseret af infosec-forskere.

Trending

Mest sete

Indlæser...