MoqHao Malware

Güney Koreli Android kullanıcılarına karşı güçlendirilen smishing kampanyası, MoqHao Kötü Amaçlı Yazılım adlı yeni bir bankacılık Truva Atı sunuyor. Şüpheli cazibeli SMS mesajları, sahte bir Chrome Android uygulamasına yönlendiren kısaltılmış URL'ler içerir. Ancak bundan önce JavaScript, bağlantıya erişen tarayıcının kullanıcı aracısını kontrol etmekle görevlendirilir. Android cihazlara, aslında silahlı uygulama olan yeni bir Chrome güncellemesi için sahte bir uyarı sunulacak ve diğer herhangi bir cihaz türü, popüler bir Güney Kore çevrimiçi platformu olan Naver'ın güvenlik sayfasına yönlendirilecek.

İndirilen APK yürütüldüğünde, telefon numaralarını doğrudan arama, kişileri ve metin mesajlarını okuma yeteneği gibi cihaz üzerinde geniş izinler ister. Dahası, MoqHao, kullanıcıdan sürekli olarak cihaz yöneticisi ayrıcalıkları isteyerek bir kalıcılık mekanizması kurmaya çalışacaktır. Yüklendiğinde, Truva Atı, gizlemeden önce ana ekranda kısaca Google Chrome logosuyla neredeyse aynı olan sahte bir simge görüntüleyecektir.

Tehdit Eden Bir İşlevsellik

MoqHao, ele geçirilen cihaz üzerinde çok çeşitli zararlı faaliyetler gerçekleştirebilir. Kötü amaçlı yazılım, kullanıcının kişilerine erişebilir ve kendini daha da çoğaltmak için kimlik avı SMS mesajları göndermeye başlayabilir. Ayrıca, işlemin Komut ve Kontrol (C2, C&C) sunucusuna sızdırılacak hassas bilgileri de toplar. MoqHao ayrıca sunucusundan ek Android uygulamalarını alıp indirebilir ve uzaktan komutlar alabilir.

Saldırı kampanyası iki sunuculu bir yapı kullanır. MoqHao, birinci aşama sunucuya bağlanacak ve ardından ikinci aşama sunucusunun IP adresini Çin'in en büyük arama motoru olan Baidu'nun kullanıcı profili sayfasından dinamik olarak alacaktır. İkinci aşama sunucuyla ilk iletişim sırasında MoqHao, virüslü cihazla ilgili çeşitli bilgileri içeren bir 'merhaba' mesajı gönderecektir: UUID, cihaz kimliği, ürün adı, yapı kimliği dizisi, Android sürümleri, SIM durumu, telefon numarası vb. Daha sonra, belirli aralıklarla, kötü amaçlı yazılım ağ operatörü, ağ türü, MAC adresi, pil seviyesi ve daha fazlası gibi ek ayrıntıları gönderecektir.

Sahte Bankacılık Uygulamaları

MoqHao'nun temel amacı, kullanıcının bankacılık bilgilerini çalmaktır. Birkaç büyük Güney Kore bankasına ait uygulamalar için güvenliği ihlal edilmiş cihazları tarar. Bu tür uygulamalar keşfedilirse, Truva Atı, C2 sunucusundan sahte veya Truva atı haline getirilmiş bir sürümü indirecektir. Ardından kullanıcıya, hedeflenen uygulamanın daha yeni bir sürüme güncellenmesi gerektiğini belirten sahte bir uyarı sunacaktır. Kullanıcı hileye düşerse, yasal uygulama silinecek ve silahlı sürüm yüklenecektir. MoqHao tarafından hedeflenen uygulamalar şunları içerir:

wooribank.pib.smart

kbstar.kbbank

ibk.neobanking

sc.danb.scbankapp

shinhan.sbanking

hanabank.ebk.channel.android.hananbank

akıllı

epost.psf.sdsi

kftc.kjbsmb

smg.spbs

MoqHao Android bankacılık Truva Atı'nın sergilediği tehdit edici özelliklerin birçoğu hala geliştirme aşamasında görünüyor. Nitekim, infosec araştırmacıları tarafından çeşitli düzeylerde karmaşıklığa sahip çeşitli test sürümleri kataloglanmıştır.