MoqHao Malware

Kampania Smishing wykorzystana przeciwko południowokoreańskim użytkownikom Androida dostarcza nowego trojana bankowego o nazwie MoqHao Malware. Podejrzane wiadomości SMS zawierają skrócone adresy URL, które prowadzą do fałszywej aplikacji Chrome na Androida. Jednak wcześniej zadaniem JavaScript jest sprawdzenie agenta użytkownika przeglądarki uzyskującej dostęp do łącza. Urządzenia z Androidem otrzymają fałszywe ostrzeżenie o nowej aktualizacji Chrome, która w rzeczywistości jest uzbrojoną aplikacją, podczas gdy inne urządzenia zostaną przekierowane na stronę bezpieczeństwa Naver, popularnej południowokoreańskiej platformy internetowej.

Gdy pobrany plik APK jest wykonywany, prosi o szerokie uprawnienia na urządzeniu, takie jak możliwość bezpośredniego dzwonienia na numery telefonów, odczytywania kontaktów i wiadomości tekstowych. Ponadto MoqHao spróbuje ustanowić mechanizm trwałości, wielokrotnie prosząc użytkownika o uprawnienia administratora urządzenia. Po zainstalowaniu trojan przez chwilę wyświetla fałszywą ikonę na ekranie głównym, która jest prawie identyczna z logo Google Chrome, zanim ją ukryje.

Grożącej Funkcjonalność

MoqHao jest zdolny do wykonywania szerokiego zestawu szkodliwych działań na zaatakowanym urządzeniu. Złośliwe oprogramowanie może uzyskać dostęp do kontaktów użytkownika i rozpocząć wysyłanie wiadomości SMS służących do wyłudzania informacji, aby dalej się rozprzestrzeniać. Gromadzi również poufne informacje, które zostaną przeniesione na serwer dowodzenia i kontroli (C2, C&C) operacji. MoqHao może również pobierać i pobierać dodatkowe aplikacje na Androida ze swojego serwera, a także odbierać zdalne polecenia.

Kampania ataku wykorzystuje strukturę dwóch serwerów. MoqHao połączy się z serwerem pierwszego etapu, a następnie dynamicznie pobierze adres IP dla serwera drugiego etapu ze strony profilu użytkownika Baidu, największej wyszukiwarki w Chinach. Podczas pierwszej komunikacji z serwerem drugiego etapu, MoqHao wyśle wiadomość `` hello '', która zawiera różne informacje o zainfekowanym urządzeniu: UUID, identyfikator urządzenia, nazwę produktu, ciąg ID kompilacji, wersje Androida, stan karty SIM, numer telefonu itp. Następnie, w określonych odstępach czasu, złośliwe oprogramowanie będzie przesyłać dodatkowe informacje, takie jak operator sieci, typ sieci, adres MAC, poziom naładowania baterii i inne.

Fałszywe aplikacje bankowe

Głównym celem MoqHao jest kradzież danych logowania użytkownika do banku. Skanuje zagrożone urządzenia w poszukiwaniu aplikacji należących do kilku głównych banków w Korei Południowej. Jeśli takie aplikacje zostaną wykryte, trojan pobierze fałszywą lub strojanizowaną wersję ze swojego serwera C2. Następnie wyświetli użytkownikowi fałszywy alert informujący, że docelowa aplikacja musi zostać zaktualizowana do nowszej wersji. Jeśli użytkownik wpadnie w tę sztuczkę, legalna aplikacja zostanie usunięta, a uzbrojona wersja zostanie zainstalowana. Aplikacje, na które kieruje MoqHao, obejmują:

wooribank.pib.smart

kbstar.kbbank

ibk.neobanking

sc.danb.scbankapp

shinhan.sbanking

hanabank.ebk.channel.android.hananbank

mądry

epost.psf.sdsi

kftc.kjbsmb

smg.spbs

Wydaje się, że kilka z zagrażających możliwości, jakie wykazuje trojan bankowy MoqHao dla systemu Android, jest nadal w fazie rozwoju. Rzeczywiście, badacze infosec skatalogowali kilka wersji testowych o różnym stopniu zaawansowania.