MoqHao Malware

De Smishing-campagne tegen Zuid-Koreaanse Android-gebruikers levert een nieuwe banktrojan genaamd MoqHao Malware. De verdachte lok-sms-berichten bevatten verkorte URL's die naar een neppe Chrome Android-app leiden. Daarvoor is JavaScript echter belast met het controleren van de user-agent van de browser die toegang heeft tot de link. Android-apparaten krijgen een nepmelding voor een nieuwe Chrome-update die in feite de bewapende applicatie is, terwijl elk ander type apparaat wordt omgeleid naar de beveiligingspagina van Naver, een populair Zuid-Koreaans online platform.

Wanneer de gedownloade APK wordt uitgevoerd, zou deze om brede machtigingen op het apparaat vragen, zoals de mogelijkheid om rechtstreeks telefoonnummers te bellen, contacten te lezen en sms-berichten. Bovendien zal MoqHao proberen een persistentiemechanisme tot stand te brengen door de gebruiker herhaaldelijk om apparaatbeheerdersrechten te vragen. Na installatie zal de Trojan kort een nep-pictogram op het startscherm weergeven dat bijna identiek is aan het logo van Google Chrome, voordat het wordt verborgen.

Een bedreigende functionaliteit

MoqHao kan een breed scala aan schadelijke activiteiten uitvoeren op het gecompromitteerde apparaat. De malware heeft toegang tot de contacten van de gebruiker en begint met het verzenden van phishing-sms-berichten om zichzelf verder te verspreiden. Het verzamelt ook gevoelige informatie die wordt geëxfiltreerd naar de Command-and-Control-server (C2, C&C) van de operatie. MoqHao kan ook extra Android-apps van zijn server ophalen en downloaden en externe opdrachten ontvangen.

De aanvalscampagne maakt gebruik van een structuur met twee servers. MoqHao maakt verbinding met de server van de eerste fase en haalt vervolgens dynamisch het IP-adres voor de server van de tweede fase op van de gebruikersprofielpagina van Baidu, de grootste zoekmachine in China. Tijdens de eerste communicatie met de server in de tweede fase zal MoqHao een 'hallo'-bericht sturen dat verschillende informatie over het geïnfecteerde apparaat bevat: UUID, apparaat-ID, productnaam, build-ID-reeks, Android-versies, SIM-status, telefoonnummer, enz. Daarna zendt de malware op gezette tijden aanvullende details uit, zoals netwerkoperator, netwerktype, MAC-adres, batterijniveau en meer.

Valse bankapplicaties

Het belangrijkste doel van MoqHao is om de bankgegevens van de gebruiker te stelen. Het scant de gecompromitteerde apparaten op apps van verschillende grote Zuid-Koreaanse banken. Als dergelijke apps worden ontdekt, downloadt de Trojan een valse of getrojaniseerde versie van zijn C2-server. Vervolgens krijgt de gebruiker een nepmelding dat de beoogde app moet worden bijgewerkt naar een nieuwere versie. Als de gebruiker voor de truc valt, wordt de legitieme app verwijderd en wordt de bewapende versie geïnstalleerd. De apps waarop MoqHao zich richt, zijn onder meer:

wooribank.pib.smart

kbstar.kbbank

ibk.neobanking

sc.danb.scbankapp

shinhan.sbanking

hanabank.ebk.channel.android.hananbank

slim

epost.psf.sdsi

kftc.kjbsmb

smg.spbs

Verschillende van de bedreigende mogelijkheden van de MoqHao Android-banktrojan lijken nog in ontwikkeling te zijn. Inderdaad, verschillende testversies met verschillende mate van verfijning zijn gecatalogiseerd door infosec-onderzoekers.