Logiciel malveillant MoqHao

La campagne Smishing mise à profit contre les utilisateurs d'Android sud-coréens fournit un nouveau cheval de Troie bancaire nommé MoqHao Malware. Les SMS suspects contiennent des URL raccourcies qui mènent à une fausse application Chrome Android. Cependant, avant cela, JavaScript est chargé de vérifier l'agent utilisateur du navigateur accédant au lien. Les appareils Android recevront une fausse alerte pour une nouvelle mise à jour de Chrome qui est en fait l'application armée, tandis que tout autre type d'appareil sera redirigé vers la page de sécurité de Naver, une plate-forme en ligne sud-coréenne populaire.

Lorsque l'APK téléchargé est exécuté, il demande des autorisations étendues sur l'appareil, telles que la possibilité d'appeler directement des numéros de téléphone, de lire des contacts et des messages texte. De plus, MoqHao tentera d'établir un mécanisme de persistance en demandant à plusieurs reprises à l'utilisateur des privilèges d'administrateur de périphérique. Une fois installé, le cheval de Troie affichera brièvement une fausse icône sur l'écran d'accueil qui est presque identique au logo de Google Chrome avant de le cacher.

Une fonctionnalité menaçante

MoqHao est capable d'exécuter un large éventail d'activités nuisibles sur l'appareil compromis. Le logiciel malveillant peut accéder aux contacts de l'utilisateur et commencer à envoyer des SMS de phishing pour se propager davantage. Il rassemble également des informations sensibles qui seront exfiltrées vers le serveur Command-and-Control (C2, C&C) de l'opération. MoqHao peut également récupérer et télécharger des applications Android supplémentaires à partir de son serveur ainsi que recevoir des commandes à distance.

La campagne d'attaque utilise une structure à deux serveurs. MoqHao se connectera au serveur de première étape et récupérera ensuite dynamiquement l'adresse IP du serveur de deuxième étape à partir de la page de profil utilisateur de Baidu, le plus grand moteur de recherche de Chine. Lors de la première communication avec le serveur de deuxième étape, MoqHao enverra un message `` bonjour '' contenant diverses informations sur l'appareil infecté: UUID, ID de l'appareil, nom du produit, chaîne d'ID de build, versions d'Android, état de la carte SIM, numéro de téléphone, etc. Ensuite, à intervalles définis, le logiciel malveillant transmettra des détails supplémentaires tels que l'opérateur réseau, le type de réseau, l'adresse MAC, le niveau de la batterie, etc.

Fausses applications bancaires

L'objectif principal de MoqHao est de voler les informations d'identification bancaires de l'utilisateur. Il analyse les appareils compromis à la recherche d'applications appartenant à plusieurs grandes banques sud-coréennes. Si de telles applications sont découvertes, le cheval de Troie téléchargera une version fausse ou cheval de Troie à partir de son serveur C2. Il présentera ensuite à l'utilisateur une fausse alerte indiquant que l'application ciblée doit être mise à jour vers une version plus récente. Si l'utilisateur tombe dans le piège, l'application légitime sera supprimée et la version militarisée sera installée. Les applications ciblées par MoqHao comprennent:

wooribank.pib.smart

kbstar.kbbank

ibk.neobanking

sc.danb.scbankapp

shinhan.sbanking

hanabank.ebk.channel.android.hananbank

intelligent

epost.psf.sdsi

kftc.kjbsmb

smg.spbs

Plusieurs des capacités menaçantes exposées par le cheval de Troie bancaire Android MoqHao semblent toujours en cours de développement. En effet, plusieurs versions de test avec des degrés de sophistication variables ont été cataloguées par les chercheurs d'Infosec.