MoqHao Malware

La campagna di smishing sfruttata contro gli utenti Android sudcoreani sta fornendo un nuovo Trojan bancario chiamato MoqHao Malware. I messaggi SMS di richiamo sospetto contengono URL abbreviati che portano a un'app Chrome Android falsa. Tuttavia, prima di ciò, JavaScript ha il compito di controllare l'agente utente del browser che accede al collegamento. I dispositivi Android verranno presentati con un falso avviso per un nuovo aggiornamento di Chrome che è appunto l'applicazione armata mentre qualsiasi altro tipo di dispositivo verrà reindirizzato verso la pagina di sicurezza di Naver, popolare piattaforma online sudcoreana.

Quando l'APK scaricato viene eseguito, richiede ampie autorizzazioni sul dispositivo, come la possibilità di chiamare direttamente numeri di telefono, leggere contatti e messaggi di testo. Inoltre, MoqHao tenterà di stabilire un meccanismo di persistenza chiedendo ripetutamente all'utente i privilegi di amministratore del dispositivo. Una volta installato, il Trojan mostrerà brevemente un'icona falsa sulla schermata iniziale che è quasi identica al logo di Google Chrome prima di nasconderlo.

Una funzionalità minacciosa

MoqHao è in grado di eseguire un'ampia serie di attività dannose sul dispositivo compromesso. Il malware può accedere ai contatti dell'utente e iniziare a inviare messaggi SMS di phishing per proliferare ulteriormente. Raccoglie anche informazioni sensibili che verranno esfiltrate al server Command-and-Control (C2, C&C) dell'operazione. MoqHao può anche recuperare e scaricare app Android aggiuntive dal suo server e ricevere comandi remoti.

La campagna di attacco utilizza una struttura a due server. MoqHao si collegherà al server di prima fase e quindi recupererà dinamicamente l'indirizzo IP per il server di seconda fase dalla pagina del profilo utente di Baidu, il più grande motore di ricerca in Cina. Durante la prima comunicazione con il server della seconda fase, MoqHao invierà un messaggio di 'ciao' che contiene varie informazioni sul dispositivo infetto: UUID, ID dispositivo, nome prodotto, stringa ID build, versioni Android, stato SIM, numero di telefono, ecc. Successivamente, a intervalli prestabiliti, il malware trasmetterà ulteriori dettagli come operatore di rete, tipo di rete, indirizzo MAC, livello della batteria e altro.

Applicazioni bancarie false

L'obiettivo principale di MoqHao è rubare le credenziali bancarie dell'utente. Esegue la scansione dei dispositivi compromessi alla ricerca di app appartenenti a diverse importanti banche sudcoreane. Se vengono scoperte tali app, il Trojan scaricherà una versione falsa o Trojanizzata dal suo server C2. Quindi presenterà all'utente un falso avviso che afferma che l'app mirata deve essere aggiornata a una versione più recente. Se l'utente si innamora del trucco, l'app legittima verrà eliminata e verrà installata la versione armata. Le app prese di mira da MoqHao includono:

wooribank.pib.smart

kbstar.kbbank

ibk.neobanking

sc.danb.scbankapp

shinhan.sbanking

hanabank.ebk.channel.android.hananbank

inteligente

epost.psf.sdsi

kftc.kjbsmb

smg.spbs

Molte delle capacità minacciose esibite dal trojan bancario Android MoqHao sembrano essere ancora in fase di sviluppo. In effetti, i ricercatori di infosec hanno catalogato diverse versioni di test con diversi gradi di sofisticazione.