MoqHao मैलवेयर
दक्षिण कोरियाई एंड्रॉइड उपयोगकर्ताओं के खिलाफ स्मिशिंग अभियान MoqHao मैलवेयर नामक एक नया बैंकिंग ट्रोजन वितरित कर रहा है। संदिग्ध लालच वाले एसएमएस संदेशों में छोटे यूआरएल होते हैं जो नकली क्रोम एंड्रॉइड ऐप की ओर ले जाते हैं। हालाँकि, इससे पहले, जावास्क्रिप्ट को लिंक तक पहुँचने वाले ब्राउज़र के उपयोगकर्ता एजेंट की जाँच करने का काम सौंपा जाता है। एंड्रॉइड डिवाइसों को एक नए क्रोम अपडेट के लिए नकली अलर्ट के साथ प्रस्तुत किया जाएगा जो वास्तव में हथियारयुक्त एप्लिकेशन है, जबकि किसी भी अन्य प्रकार के डिवाइस को लोकप्रिय दक्षिण कोरियाई ऑनलाइन प्लेटफॉर्म नावर के सुरक्षा पृष्ठ की ओर रीडायरेक्ट किया जाएगा।
जब डाउनलोड किए गए एपीके को निष्पादित किया जाता है, तो यह डिवाइस पर व्यापक अनुमतियों के लिए पूछेगा जैसे कि सीधे फोन नंबरों पर कॉल करने की क्षमता, संपर्क पढ़ने और टेक्स्ट संदेश। इसके अलावा, MoqHao उपयोगकर्ता से डिवाइस व्यवस्थापक विशेषाधिकारों के लिए बार-बार पूछकर एक दृढ़ता तंत्र स्थापित करने का प्रयास करेगा। स्थापित होने पर, ट्रोजन संक्षिप्त रूप से होम स्क्रीन पर एक नकली आइकन प्रदर्शित करेगा जो इसे छिपाने से पहले Google क्रोम के लोगो के लगभग समान है।
एक खतरनाक कार्यक्षमता
MoqHao समझौता किए गए डिवाइस पर हानिकारक गतिविधियों के व्यापक सेट को निष्पादित करने में सक्षम है। मैलवेयर उपयोगकर्ता के संपर्कों तक पहुंच सकता है और खुद को और अधिक फैलाने के लिए फ़िशिंग एसएमएस संदेश भेजना शुरू कर सकता है। यह संवेदनशील जानकारी भी एकत्र करता है जिसे ऑपरेशन के कमांड-एंड-कंट्रोल (सी 2, सी एंड सी) सर्वर पर बहिष्कृत किया जाएगा। MoqHao अपने सर्वर से अतिरिक्त एंड्रॉइड ऐप भी ला सकता है और डाउनलोड कर सकता है और साथ ही रिमोट कमांड प्राप्त कर सकता है।
हमला अभियान दो-सर्वर संरचना का उपयोग करता है। MoqHao पहले चरण के सर्वर से जुड़ जाएगा और फिर चीन के सबसे बड़े खोज इंजन Baidu के उपयोगकर्ता प्रोफ़ाइल पृष्ठ से दूसरे चरण के सर्वर के लिए आईपी पते को गतिशील रूप से पुनः प्राप्त करेगा। दूसरे चरण के सर्वर के साथ पहले संचार के दौरान, MoqHao एक 'हैलो' संदेश भेजेगा जिसमें संक्रमित डिवाइस के बारे में विभिन्न जानकारी होगी: UUID, डिवाइस आईडी, उत्पाद का नाम, बिल्ड आईडी स्ट्रिंग, Android संस्करण, सिम स्थिति, फोन नंबर, आदि। बाद में, निर्धारित अंतराल पर, मैलवेयर अतिरिक्त विवरण जैसे नेटवर्क ऑपरेटर, नेटवर्क प्रकार, मैक पता, बैटरी स्तर, और बहुत कुछ बीम करेगा।
नकली बैंकिंग आवेदन
MoqHao का मुख्य लक्ष्य उपयोगकर्ता की बैंकिंग साख को चुराना है। यह कई प्रमुख दक्षिण कोरियाई बैंकों से संबंधित ऐप्स के लिए समझौता किए गए उपकरणों को स्कैन करता है। यदि ऐसे ऐप्स खोजे जाते हैं, तो ट्रोजन अपने C2 सर्वर से एक नकली या ट्रोजनाइज़्ड संस्करण डाउनलोड करेगा। इसके बाद यह उपयोगकर्ता को एक नकली अलर्ट के साथ प्रस्तुत करेगा जिसमें कहा गया है कि लक्षित ऐप को नए संस्करण में अपडेट करने की आवश्यकता है। यदि उपयोगकर्ता चाल के लिए गिर जाता है, तो वैध ऐप हटा दिया जाएगा और हथियारयुक्त संस्करण स्थापित किया जाएगा। MoqHao द्वारा लक्षित ऐप्स में शामिल हैं:
wooribank.pib.smart
kbstar.kbbank
आईबीके.नियोबैंकिंग
sc.danb.scbankapp
shinhan.sbanking
hanabank.ebk.channel.android.hananbank
होशियार
epost.psf.sdsi
kftc.kjbsmb
एसएमजी.एसपीबीएस
MoqHao Android बैंकिंग ट्रोजन द्वारा प्रदर्शित कई खतरनाक क्षमताएं अभी भी विकास के अधीन हैं। वास्तव में, विभिन्न प्रकार के परिष्कार वाले कई परीक्षण संस्करणों को इन्फोसेक शोधकर्ताओं द्वारा सूचीबद्ध किया गया है।
