MoqHao恶意软件

针对韩国Android用户的诽谤活动正在推出一种名为MoqHao Malware的新型银行木马。可疑的诱饵SMS消息包含缩短的URL，这些URL会导致伪造的Chrome Android应用。但是，在此之前，JavaScript的任务是检查访问链接的浏览器的用户代理。 Android设备将收到有关新的Chrome更新的虚假警报，该更新实际上是武器处理的应用程序，而其他任何类型的设备都将重定向到流行的韩国在线平台Naver的安全页面。

执行下载的APK后，它将要求在设备上具有广泛的权限，例如直接拨打电话号码，阅读联系人和短信的功能。此外，MoqHao将尝试通过反复询问用户设备管理员权限来建立持久性机制。安装后，该木马会在隐藏之前先在主屏幕上短暂显示一个与Google Chrome徽标几乎相同的假图标。

有威胁的功能

MoqHao能够在受感染的设备上执行各种有害活动。该恶意软件可以访问用户的联系人并开始发送网络钓鱼SMS消息以进一步自我扩散。它还收集敏感信息，这些信息将被泄漏到操作的命令和控制（C2，C＆C）服务器。 MoqHao还可以从其服务器获取并下载其他Android应用程序，以及接收远程命令。

攻击活动利用两台服务器的结构。 MoqHao将连接到第一阶段服务器，然后从中国最大的搜索引擎百度的用户个人资料页面中动态检索第二阶段服务器的IP地址。在与第二阶段服务器进行第一次通信期间，MoqHao将发送“ hello”消息，其中包含有关受感染设备的各种信息：UUID，设备ID，产品名称，内部版本ID字符串，Android版本，SIM卡状态，电话号码等然后，在设定的时间间隔内，恶意软件将发出更多详细信息，例如网络运营商，网络类型，MAC地址，电池电量等。

伪造银行申请

MoqHao的主要目标是窃取用户的银行凭据。它会扫描受感染的设备，查找属于韩国几家主要银行的应用程序。如果发现了此类应用程序，木马会从其C2服务器下载伪造或木马版本。然后，它将向用户显示虚假警报，表明需要将目标应用程序更新为较新版本。如果用户不满意，将删除合法的应用程序并安装武器版本。 MoqHao定位的应用程序包括：

wooribank.pib.smart

kbstar.kbbank

ibk.neobanking

sc.danb.scbankapp

新韩银行

hanabank.ebk.channel.android.hananbank

聪明的

epost.psf.sdsi

kftc.kjbsmb

smg.spbs

MoqHao Android银行木马展示的几种威胁功能似乎仍在开发中。实际上，infosec研究人员已经对几种具有不同复杂程度的测试版本进行了分类。