MoqHao Malware

A campanha Smishing alavancada contra usuários sul-coreanos do Android está oferecendo um novo Trojan bancário chamado MoqHao Malware. As mensagens SMS de isca contêm URLs encurtados que levam a um aplicativo falso do Chrome para o Android. No entanto, antes disso, o JavaScript tem a tarefa de verificar o agente do usuário do navegador que acessa o link. Dispositivos Android serão apresentados com um alerta falso para uma nova atualização do Chrome que é na verdade o aplicativo armado, enquanto qualquer outro tipo de dispositivo será redirecionado para a página de segurança do Naver, uma plataforma online sul-coreana popular.

Quando o APK baixado é executado, ele pede amplas permissões no dispositivo, como a capacidade de ligar diretamente para números de telefone, ler contatos e mensagens de texto. Além disso, o MoqHao tentará estabelecer um mecanismo de persistência solicitando repetidamente ao usuário privilégios de administrador do dispositivo. Quando instalado, o Trojan exibe brevemente um ícone falso na tela inicial que é quase idêntico ao logotipo do Google Chrome antes de ocultá-lo.

Uma Funcionalidade Ameaçadora

O MoqHao é capaz de executar um amplo conjunto de atividades prejudiciais no dispositivo comprometido. O malware pode acessar os contatos do usuário e começar a enviar mensagens SMS de phishing para se proliferar ainda mais. Ele também coleta informações confidenciais que serão exfiltradas para o servidor de Comando e Controle (C2, C&C) da operação. O MoqHao também pode buscar e baixar aplicativos Android adicionais de seu servidor, bem como receber comandos remotos.

A campanha de ataque utiliza uma estrutura de dois servidores. O MoqHao se conectará ao servidor de primeiro estágio e, então, recuperará dinamicamente o endereço de IP do servidor do segundo estágio da página de perfil do usuário no Baidu, o maior mecanismo de busca da China. Durante a primeira comunicação com o servidor do segundo estágio, o MoqHao enviará uma mensagem de 'alô' que contém várias informações sobre o dispositivo infectado: UUID, ID do dispositivo, nome do produto, string de ID de construção, versões do Android, status do SIM, número de telefone, etc. Depois disso, em intervalos definidos, o malware transmitirá detalhes adicionais, como operadora de rede, tipo de rede, endereço MAC, nível de bateria e muito mais.

Aplicativos Bancários Falsos

O principal objetivo do MoqHao é roubar as credenciais bancárias do usuário. Ele verifica os dispositivos comprometidos em busca de aplicativos pertencentes a vários grandes bancos sul-coreanos. Se tais aplicativos forem descobertos, o Trojan baixará uma versão falsa ou Trojanizada de seu servidor C2. Em seguida, ele apresentará ao usuário um alerta falso, informando que o aplicativo visado precisa ser atualizado para uma versão mais recente. Se o usuário cair no truque, o aplicativo legítimo será excluído e a versão como arma será instalada. Os aplicativos direcionados pelo MoqHao incluem:

wooribank.pib.smart

kbstar.kbbank

ibk.neobanking

sc.danb.scbankapp

shinhan.sbanking

hanabank.ebk.channel.android.hananbank

inteligente

epost.psf.sdsi

kftc.kjbsmb

smg.spbs

Vários dos recursos ameaçadores exibidos pelo Trojan bancário para o Android MoqHao parecem ainda estar em desenvolvimento. Na verdade, várias versões de teste com vários graus de sofisticação foram catalogadas pelos pesquisadores de infosec.