MoqHao skadlig programvara

Smishing-kampanj mot sydkoreanska Android-användare levererar en ny banktrojan med namnet MoqHao Malware. De misstänkta bete SMS-meddelanden innehåller förkortade webbadresser som leder till en falsk Chrome Android-app. Innan dess har JavaScript till uppgift att kontrollera användaragenten för webbläsaren som har åtkomst till länken. Android-enheter kommer att presenteras med en falsk varning för en ny Chrome-uppdatering som faktiskt är den vapenapplikation medan någon annan typ av enhet kommer att omdirigeras mot säkerhetssidan för Naver, en populär sydkoreansk onlineplattform.

När den nedladdade APK-enheten körs skulle den begära breda behörigheter på enheten, t.ex. möjligheten att direkt ringa telefonnummer, läsa kontakter och textmeddelanden. Dessutom kommer MoqHao att försöka skapa en uthållighetsmekanism genom att upprepade gånger be användaren om enhetsadministratörsbehörighet. När den är installerad visar Trojan kort en falsk ikon på hemskärmen som är nästan identisk med Google Chrome-logotypen innan den döljs.

En hotfull funktionalitet

MoqHao kan utföra en bred uppsättning skadliga aktiviteter på den komprometterade enheten. Skadlig kod kan komma åt användarens kontakter och börja skicka phishing-SMS för att ytterligare sprida sig själv. Det samlar också känslig information som kommer att exfiltreras till Command-and-Control (C2, C&C) -servern för operationen. MoqHao kan också hämta och ladda ner ytterligare Android-appar från sin server samt ta emot fjärrkommandon.

Attackkampanjen använder en två-server-struktur. MoqHao ansluter till serverns första steg och hämtar sedan dynamiskt IP-adressen för serverns andra steg från användarprofilsidan för Baidu, den största sökmotorn i Kina. Under den första kommunikationen med serverns andra steg kommer MoqHao att skicka ett 'hej' -meddelande som innehåller olika uppgifter om den infekterade enheten: UUID, enhets-ID, produktnamn, bygg-ID-sträng, Android-versioner, SIM-status, telefonnummer etc. Därefter strålar skadlig programvara vid inställda intervaller ytterligare detaljer som nätoperatör, nätverkstyp, MAC-adress, batterinivå och mer.

Falska bankansökningar

Huvudmålet för MoqHao är att stjäla användarens bankuppgifter. Det skannar de komprometterade enheterna för appar som tillhör flera stora sydkoreanska banker. Om sådana appar upptäcks hämtar Trojan en falsk eller trojaniserad version från sin C2-server. Det kommer då att ge användaren en falsk varning om att den riktade appen måste uppdateras till en nyare version. Om användaren faller för tricket kommer den legitima appen att raderas och den vapenversionen installeras. De appar som riktar sig till MoqHao inkluderar:

wooribank.pib.smart

kbstar.kbbank

ibk.neobanking

sc.danb.scbankapp

shinhan.banking

hanabank.ebk.channel.android.hananbank

smart

epost.psf.sdsi

kftc.kjbsmb

smg.spbs

Flera av de hotfulla funktionerna som MoqHao Android Bank Trojan visar tycks fortfarande vara under utveckling. Faktum är att flera testversioner med varierande grad av sofistikering har katalogiserats av infosec-forskare.