Ditulis oleh Dexter Shin

MoqHao adalah keluarga malware Android terkenal yang terkait dengan kelompok aktor ancaman Roaming Mantis yang pertama kali ditemukan pada tahun 2015. Tim Riset Seluler McAfee juga telah memposting beberapa artikel terkait dengan keluarga malware yang biasanya menargetkan negara-negara Asia seperti Korea dan Jepang.

Baru-baru ini Tim Peneliti Seluler McAfee menemukan bahwa MoqHao mulai mendistribusikan varian menggunakan teknik yang sangat berbahaya. Pada dasarnya cara pendistribusiannya sama. Mereka mengirimkan tautan untuk mengunduh aplikasi berbahaya melalui pesan SMS. MoqHao reguler mengharuskan pengguna untuk menginstal dan meluncurkan aplikasi untuk mendapatkan tujuan yang diinginkan, namun varian baru ini tidak memerlukan implementasi. Saat aplikasi dipasang, aktivitas jahatnya dimulai secara otomatis. Teknik ini diperkenalkan di a posisi sebelumnya namun perbedaannya adalah teknik berbahaya ini kini disalahgunakan oleh kampanye malware aktif terkenal seperti MoqHao. Kami telah melaporkan teknik ini ke Google dan mereka berupaya menerapkan mitigasi untuk mencegah jenis eksekusi otomatis ini di versi Android mendatang. Pengguna Android kini dilindungi oleh Google Play Lindungi, yang diaktifkan secara default di perangkat Android dengan Layanan Google Play. Google Play Protect dapat memperingatkan pengguna atau memblokir aplikasi yang diketahui menunjukkan perilaku berbahaya, meskipun aplikasi tersebut berasal dari sumber di luar Play. McAfee Mobile Security mendeteksi ancaman ini sebagai Android/MoqHao.

Bagaimana dia mendistribusikanD

MoqHao didistribusikan melalui pesan SMS phishing (juga dikenal sebagai Smishing). Saat pengguna menerima pesan SMS yang berisi tautan berbahaya dan mengekliknya, perangkat akan mengunduh aplikasi berbahaya tersebut. Pesan phishingnya hampir sama dengan kampanye sebelumnya:

diagram 1. Pesan smishing yang menyamar sebagai notifikasi dari a kurir melayani.

Pesan Jepang: Saya pergi ke alamat pengiriman, tetapi tidak ada orang di sana. Jadi, saya membawanya kembali.

Salah satu perubahan penting adalah mereka sekarang menggunakan layanan pemendekan URL. Jika pembuat malware menggunakan domainnya sendiri, domain tersebut dapat diblokir dengan cepat tetapi jika mereka menggunakan layanan pemendekan URL yang sah, akan sulit untuk memblokir domain pendek karena dapat memengaruhi semua URL yang digunakan oleh layanan tersebut. Ketika pengguna mengeklik tautan dalam pesan, ia dialihkan ke situs jahat sebenarnya oleh layanan pemendekan URL.

Apa yang baru di varian ini

Seperti disebutkan di awal, varian ini berperilaku berbeda dari varian sebelumnya. MoqHao normal harus diluncurkan secara manual oleh pengguna setelah diinstal tetapi varian ini diluncurkan secara otomatis setelah instalasi tanpa interaksi pengguna:

diagram 2. Perbedaan antara MoqHao biasa dan MoqHao Modern

Kami menjelaskan ini eksekusi otomatis teknik secara rinci di A posisi sebelumnya Tetapi ke Secara singkat meringkaskan di sini, Android dirancang sedemikian rupa sehingga ketika sebuah aplikasi diinstal dan nilai spesifik yang digunakan oleh aplikasi tersebut disetel menjadi unik, kode akan dijalankan untuk memeriksa apakah nilainya unik selama instalasi. Tmilik dia fitur adalah yang itu menjadi disalahgunakan oleh keluarga Trojan yang sangat aktif MoqHao untuk mengeksekusi dirinya sendiri secara otomatis tanpa interaksi pengguna. Itu distribusi, instalasi, dan eksekusi otomatis ini baru-baru ini MoqHao bermacam-macam dapat dilihat pada video berikut ini:

Di sisi lain tangan, ini baru-baru ini MoqHao bermacam-macam menggunakan Unikode string dalam nama aplikasi berbeda dari sebelumnya. ini teknik membuat beberapa karakter terlihat berani, namun pengguna mengenalinya secara visual sebagai “Chrome”. Hal ini dapat memengaruhi teknik deteksi berbasis nama aplikasi yang membandingkan nama aplikasi (Krom) dan nama paket (com.android.chrome):

diagram 3. Nama aplikasi yang digunakan Unikode rangkaian.

Selain itu, mereka juga menggunakan teknik rekayasa sosial untuk menetapkan aplikasi berbahaya sebagai aplikasi SMS default. Sebelum jendela pengaturan muncul, mereka menampilkan pesan yang memberitahu Anda untuk mengatur aplikasi yang akan diblokir spam, Btapi pesan ini palsu:

diagram 4. Pesan palsu menggunakan rekayasa sosial teknik.

Juga, yang mana berbagai bahasa yang digunakan dalam teks terkait dengan perilaku ini menunjukkan hal itu, selain Jepang, mereka juga menargetkan Korea Selatan, Prancis, Jerman, dan India:

diagram 5. Pesan palsu dirancang untuk menargetkan berbeda negara.

Setelah yang awal mula malware tersebut adalah Selesai, dia menginginkan membuat saluran notifikasi itu akan digunakan untuk menampilkan pesan phishing:

diagram 6. Buat saluran notifikasi untuk hal berikutnya pengelabuan menyerang

Itu perangkat lunak perusak periksa operator perangkat dan gunakan pemberitahuan ini untuk mengirim pesan phishing yang sesuai tipuan pengguna ke dalam klikTn pada mereka. MoqHao Bisa yang pesan phishing dan URL phishing dari profil PinterestS.

diagram 7. Pesan dan URL phishing di profil Pinterest

Jika string phishing kosong, MoqHao akan menggunakan pesan phishing dalam kode:

diagram 8. Kode notifikasi phishing untuk setiap operator

Varian ini juga terhubung ke server C2 melalui WebSocket. Namun, telah dikonfirmasi bahwa beberapa perintah lain telah ditambahkan selain perintah yang diperkenalkan di dalamnya posisi sebelumnya:

Memesan Keterangan
dapatkanSmsKW Kirim semua pesan SMS ke server C2
Kirim SMS Kirim pesan SMS ke seseorang
mengatur Wifi Aktifkan/nonaktifkan Wifi
gcont Kirim semua kontak ke server C2
kunci Simpan nilai Boolean di kunci “kunci” di SharedPreferences
SM Periksa status SIM
set Maju Simpan nilai String di kunci “fs” di SharedPreferences
maju Dapatkan nilai String di kunci “fs” di SharedPreferences
memiliki Pkg Periksa paket spesifik yang diinstal pada perangkat
setRingerMode Atur mode Suara/Getar/Diam
setRecEnable Atur mode Getar/Diam sesuai versi SDK
reqState Kirim informasi perangkat (Jaringan, Daya, MAC, Izin) ke server C2
tunjukkanRumah Klik tombol Tiru Beranda
dapatkanpki Kirim Sertifikat Publik Korea (NPKI) ke server C2
http Kirim permintaan HTTP
panggilan Hubungi nomor tertentu dengan mode Senyap
dapatkan_aplikasi Dapatkan daftar paket yang diinstal
ping Periksa status server C2
dapatkan PhoneState Dapatkan informasi unik seperti IMEI, nomor SIM, ID Android dan nomor seri
dapatkan_foto Kirim semua foto ke server C2

Keluarga malware MoqHao adalah malware aktif yang telah ada selama bertahun-tahun. Meskipun bertahun-tahun telah berlalu, mereka semakin banyak menggunakan cara berbeda untuk menyembunyikan dan menjangkau pengguna. Kami melihat jumlah perintah C2 yang jauh lebih tinggi dibandingkan sebelumnya, penggunaan aktif situs sah seperti Pinterest untuk menyimpan dan memperbarui data phishing, dan kode potensial untuk menargetkan negara-negara Asia seperti Jepang dan Korea Selatan, serta negara-negara seperti Perancis, Jerman dan India. Selain itu, kami memperkirakan varian baru ini akan memberikan dampak yang besar karena dapat menginfeksi perangkat hanya dengan melakukan instalasi tanpa eksekusi.

Sulit bagi pengguna umum untuk menemukan aplikasi palsu menggunakan ikon dan nama aplikasi yang sah, jadi kami menyarankan pengguna menginstal perangkat lunak yang aman untuk melindungi perangkat mereka. Untuk informasi lebih lanjut, kunjungi Keamanan Seluler McAfee.

Indikasi Kompromi (IOC)

SHA256 nama aplikasi Nama paket
2576a166d3b18eafc2e35a7de3e5549419d10ce62e0eeb24bad5a1daaa257528 Babya ampun gb.pi.xcxr.xd
61b4cca67762a4cf31209056ea17b6fb212e175ca330015d804122ee6481688e HM malmkb.zdbd.ivakf.lrhrgf
b044804cf731cd7dd79000b7c6abce7b642402b275c1eb25712607fc1e5e3d2b CM vfqhqd.msk.xux.njs
bf102125a6fca5e96aed855b45bed9aa0bc964198ce207f2e63a71487ad793a chro hohoj.vlcwu.lm.ext
e72f46f15e50ce7cee5c4c0c5a5277e8be4bb3dd23d08ea79e1deacb8f004136 jame enech.hg.rrfy.wrlpp
f6323f8d8cfa4b5053c65f8c1862a8e6844b35b260f61735b3cf8d19990fef42 kre gqjoyp.cixq.zbh.llr


#Evolusi #MoqHao #Varian #baru #dimulai #secara #otomatis #segera #setelah #instalasi