Malware MoqHao
La campaña Smishing contra los usuarios de Android de Corea del Sur está entregando un nuevo troyano bancario llamado MoqHao Malware. Los mensajes SMS de señuelos sospechosos contienen URL abreviadas que conducen a una aplicación falsa de Chrome para Android. Sin embargo, antes de eso, JavaScript tiene la tarea de verificar el agente de usuario del navegador que accede al enlace. Los dispositivos Android recibirán una alerta falsa para una nueva actualización de Chrome que, de hecho, es la aplicación armada, mientras que cualquier otro tipo de dispositivo será redirigido a la página de seguridad de Naver, una popular plataforma en línea de Corea del Sur.
Cuando se ejecuta el APK descargado, solicitará amplios permisos en el dispositivo, como la capacidad de llamar directamente a números de teléfono, leer contactos y mensajes de texto. Además, MoqHao intentará establecer un mecanismo de persistencia solicitando repetidamente al usuario privilegios de administrador del dispositivo. Una vez instalado, el troyano mostrará brevemente un icono falso en la pantalla de inicio que es casi idéntico al logotipo de Google Chrome antes de ocultarlo.
Una funcionalidad amenazadora
MoqHao es capaz de ejecutar un amplio conjunto de actividades dañinas en el dispositivo comprometido. El malware puede acceder a los contactos del usuario y comenzar a enviar mensajes SMS de phishing para propagarse aún más. También recopila información sensible que se exfiltrará al servidor de Comando y Control (C2, C&C) de la operación. MoqHao también puede buscar y descargar aplicaciones de Android adicionales desde su servidor, así como recibir comandos remotos.
La campaña de ataque utiliza una estructura de dos servidores. MoqHao se conectará al servidor de la primera etapa y luego recuperará dinámicamente la dirección IP para el servidor de la segunda etapa desde la página de perfil de usuario de Baidu, el motor de búsqueda más grande de China. Durante la primera comunicación con el servidor de la segunda etapa, MoqHao enviará un mensaje de 'hola' que contiene información diversa sobre el dispositivo infectado: UUID, ID del dispositivo, nombre del producto, cadena de ID de compilación, versiones de Android, estado de la SIM, número de teléfono, etc. Posteriormente, a intervalos establecidos, el malware transmitirá detalles adicionales como el operador de red, el tipo de red, la dirección MAC, el nivel de la batería y más.
Aplicaciones bancarias falsas
El objetivo principal de MoqHao es robar las credenciales bancarias del usuario. Escanea los dispositivos comprometidos en busca de aplicaciones pertenecientes a varios de los principales bancos de Corea del Sur. Si se descubren estas aplicaciones, el troyano descargará una versión falsa o troyana de su servidor C2. Luego, presentará al usuario una alerta falsa que indica que la aplicación de destino debe actualizarse a una versión más reciente. Si el usuario se deja engañar, la aplicación legítima se eliminará y se instalará la versión armada. Las aplicaciones a las que apunta MoqHao incluyen:
wooribank.pib.smart
kbstar.kbbank
ibk.neobanking
sc.danb.scbankapp
Shinhan.sbanking
hanabank.ebk.channel.android.hananbank
inteligente
epost.psf.sdsi
kftc.kjbsmb
smg.spbs
Varias de las capacidades amenazadoras exhibidas por el troyano bancario Android MoqHao parecen estar todavía en desarrollo. De hecho, los investigadores de infosec han catalogado varias versiones de prueba con diversos grados de sofisticación.
