MoqHao Malware

Die Smishing-Kampagne gegen südkoreanische Android-Nutzer liefert einen neuen Banking-Trojaner namens MoqHao Malware. Die verdächtigen Köder-SMS-Nachrichten enthalten verkürzte URLs, die zu einer gefälschten Chrome Android-App führen. Zuvor hat JavaScript jedoch die Aufgabe, den Benutzeragenten des Browsers zu überprüfen, der auf den Link zugreift. Android-Geräte erhalten eine gefälschte Warnung für ein neues Chrome-Update, bei dem es sich tatsächlich um die Waffenanwendung handelt, während alle anderen Gerätetypen auf die Sicherheitsseite von Naver, einer beliebten südkoreanischen Online-Plattform, umgeleitet werden.

Wenn die heruntergeladene APK ausgeführt wird, werden umfassende Berechtigungen für das Gerät angefordert, z. B. die Möglichkeit, Telefonnummern direkt anzurufen, Kontakte zu lesen und Textnachrichten zu senden. Darüber hinaus versucht MoqHao, einen Persistenzmechanismus einzurichten, indem der Benutzer wiederholt nach Administratorrechten für Geräte gefragt wird. Nach der Installation zeigt der Trojaner kurz ein gefälschtes Symbol auf dem Startbildschirm an, das fast identisch mit dem Google Chrome-Logo ist, bevor es ausgeblendet wird.

Eine bedrohliche Funktionalität

MoqHao ist in der Lage, eine breite Palette schädlicher Aktivitäten auf dem gefährdeten Gerät auszuführen. Die Malware kann auf die Kontakte des Benutzers zugreifen und Phishing-SMS-Nachrichten senden, um sich weiter zu vermehren. Außerdem werden vertrauliche Informationen gesammelt, die an den Command-and-Control-Server (C2, C & C) des Vorgangs weitergeleitet werden. MoqHao kann auch zusätzliche Android-Apps von seinem Server abrufen und herunterladen sowie Remote-Befehle empfangen.

Die Angriffskampagne verwendet eine Zwei-Server-Struktur. MoqHao stellt eine Verbindung zum Server der ersten Stufe her und ruft dann dynamisch die IP-Adresse für den Server der zweiten Stufe von der Benutzerprofilseite von Baidu, der größten Suchmaschine in China, ab. Während der ersten Kommunikation mit dem Server der zweiten Stufe sendet MoqHao eine Hallo-Nachricht, die verschiedene Informationen über das infizierte Gerät enthält: UUID, Geräte-ID, Produktname, Build-ID-Zeichenfolge, Android-Versionen, SIM-Status, Telefonnummer usw. Anschließend sendet die Malware in festgelegten Intervallen zusätzliche Details wie Netzwerkbetreiber, Netzwerktyp, MAC-Adresse, Akkuladestand und mehr.

Gefälschte Bankanwendungen

Das Hauptziel von MoqHao ist es, die Bankdaten des Benutzers zu stehlen. Es durchsucht die kompromittierten Geräte nach Apps mehrerer großer südkoreanischer Banken. Wenn solche Apps entdeckt werden, lädt der Trojaner eine gefälschte oder trojanisierte Version von seinem C2-Server herunter. Anschließend wird dem Benutzer eine gefälschte Warnung angezeigt, die besagt, dass die Ziel-App auf eine neuere Version aktualisiert werden muss. Wenn der Benutzer auf den Trick hereinfällt, wird die legitime App gelöscht und die Waffenversion installiert. Zu den Apps, auf die MoqHao abzielt, gehören:

wooribank.pib.smart

kbstar.kbbank

ibk.neobanking

sc.danb.scbankapp

shinhan.sbanking

hanabank.ebk.channel.android.hananbank

Clever

epost.psf.sdsi

kftc.kjbsmb

smg.spbs

Einige der Bedrohungsfunktionen des MoqHao Android Banking-Trojaners scheinen sich noch in der Entwicklung zu befinden. In der Tat wurden mehrere Testversionen mit unterschiedlichem Grad an Raffinesse von Infosec-Forschern katalogisiert.