MoqHao惡意軟件

針對韓國Android用戶的誹謗活動正在推出一種名為MoqHao Malware的新型銀行木馬。可疑的誘餌SMS消息包含縮短的URL，這些URL會導致偽造的Chrome Android應用。但是，在此之前，JavaScript的任務是檢查訪問鏈接的瀏覽器的用戶代理。 Android設備將收到有關新的Chrome更新的虛假警報，該更新實際上是武器處理的應用程序，而其他任何類型的設備都將重定向到流行的韓國在線平台Naver的安全頁面。

執行下載的APK後，它將要求在設備上具有廣泛的權限，例如直接撥打電話號碼，閱讀聯繫人和短信的功能。此外，MoqHao將嘗試通過反复詢問用戶設備管理員權限來建立持久性機制。安裝後，該木馬會在隱藏之前先在主屏幕上短暫顯示一個與Google Chrome徽標幾乎相同的假圖標。

有威脅的功能

MoqHao能夠在受感染的設備上執行各種有害活動。該惡意軟件可以訪問用戶的聯繫人並開始發送網絡釣魚SMS消息以進一步自我擴散。它還收集敏感信息，這些信息將被洩漏到操作的命令和控制（C2，C＆C）服務器。 MoqHao還可以從其服務器獲取並下載其他Android應用程序，以及接收遠程命令。

攻擊活動利用兩台服務器的結構。 MoqHao將連接到第一階段服務器，然後從中國最大的搜索引擎百度的用戶個人資料頁面中動態檢索第二階段服務器的IP地址。在與第二階段服務器進行第一次通信期間，MoqHao將發送“ hello”消息，其中包含有關受感染設備的各種信息：UUID，設備ID，產品名稱，內部版本ID字符串，Android版本，SIM卡狀態，電話號碼等然後，在設定的時間間隔內，惡意軟件將發出更多詳細信息，例如網絡運營商，網絡類型，MAC地址，電池電量等。

偽造銀行申請

MoqHao的主要目標是竊取用戶的銀行憑據。它會掃描受感染的設備，查找屬於韓國幾家主要銀行的應用程序。如果發現了此類應用程序，木馬會從其C2服務器下載偽造或木馬版本。然後，它將向用戶顯示虛假警報，表明需要將目標應用程序更新為較新版本。如果用戶不滿意，將刪除合法的應用程序並安裝武器版本。 MoqHao定位的應用程序包括：

wooribank.pib.smart

kbstar.kbbank

ibk.neobanking

sc.danb.scbankapp

新韓銀行

hanabank.ebk.channel.android.hananbank

聰明的

epost.psf.sdsi

kftc.kjbsmb

smg.spbs

MoqHao Android銀行木馬展示的幾種威脅功能似乎仍在開發中。實際上，infosec研究人員已經對幾種具有不同複雜程度的測試版本進行了分類。