Escrito por Dexter Shin MoqHao es una conocida familia de malware para Android asociada con el grupo de actores de amenazas Roaming Mantis descubierto por primera vez en 2015. El equipo de investigación móvil de McAfee también ha publicado varios artículos relacionados con esta familia de malware que tradicionalmente se dirige a países asiáticos como Corea y Japón. . Recientemente, el equipo de investigación móvil de McAfee descubrió que MoqHao comenzó a distribuir variantes utilizando técnicas muy peligrosas. Básicamente, el método de distribución es el mismo. Envían un enlace para descargar la aplicación maliciosa a través del mensaje SMS. El MoqHao típico requiere que los usuarios instalen e inicien la aplicación para lograr el propósito deseado, pero esta nueva variante no requiere ejecución. Mientras la aplicación está instalada, su actividad maliciosa comienza automáticamente. Esta técnica se introdujo en una publicación anterior, pero la diferencia es que ahora otras campañas de malware activo conocidas como MoqHao están abusando de esta peligrosa técnica. Ya informamos de esta técnica a Google y ya están trabajando en la implementación de mitigaciones para evitar este tipo de autoejecución en una futura versión de Android. Los usuarios de Android actualmente están protegidos por Google Play Protect, que está activado de forma predeterminada en los dispositivos Android con Servicios de Google Play. Google Play Protect puede advertir a los usuarios o bloquear aplicaciones que se sabe que exhiben un comportamiento malicioso, incluso cuando esas aplicaciones provienen de fuentes externas a Play. McAfee Mobile Security detecta esta amenaza como Android/MoqHao. Cómo se distribuye MoqHao se distribuye a través de mensajes SMS de phishing (también conocido como Smishing). Cuando un usuario recibe un mensaje SMS que contiene un enlace malicioso y hace clic en él, el dispositivo descarga la aplicación maliciosa. Los mensajes de phishing son prácticamente los mismos que en campañas anteriores: Figura 1. Mensaje smishing suplantando una notificación de un servicio de mensajería. Un cambio notable es que ahora utilizan servicios de acortamiento de URL. Si los autores del malware utilizan su propio dominio, se puede bloquear rápidamente, pero si utilizan servicios legítimos de acortamiento de URL, es difícil bloquear el dominio corto porque podría afectar a todas las URL utilizadas por ese servicio. Cuando un usuario hace clic en el enlace del mensaje, el servicio de acortamiento de URL lo redireccionará al sitio malicioso real. Novedades de esta variante Como se mencionó al principio, esta variante se comporta de manera diferente a las anteriores. El usuario debe iniciar manualmente el MoqHao típico después de su instalación, pero esta variante se inicia automáticamente después de la instalación sin interacción del usuario: Figura 2. Diferencias entre el MoqHao típico y el MoqHao moderno Explicamos esta técnica de ejecución automática en detalle en una publicación anterior, pero brevemente Resumalo aquí, Android está diseñado de modo que cuando se instala una aplicación y un valor específico utilizado por la aplicación se establece como único, el código se ejecuta para verificar si el valor es único durante la instalación. Esta característica es de la que está abusando la familia de troyanos MoqHao, altamente activa, para ejecutarse automáticamente sin interacción del usuario. La distribución, instalación y ejecución automática de esta variante reciente de MoqHao se puede ver en el siguiente video: Por otro lado, esta variante reciente de MoqHao usa cadenas Unicode en los nombres de las aplicaciones de manera diferente que antes. Esta técnica hace que algunos caracteres aparezcan en negrita, pero los usuarios lo reconocen visualmente como «Chrome». Esto puede afectar las técnicas de detección basadas en el nombre de la aplicación que comparan el nombre de la aplicación (Chrome) y el nombre del paquete (com.android.chrome): Figura 3. Nombre de la aplicación usando cadenas Unicode. Además, también utilizan técnicas de ingeniería social para configurar aplicaciones maliciosas como la aplicación de SMS predeterminada. Antes de que aparezca la ventana de configuración, muestran un mensaje que le indica que configure la aplicación para evitar el spam, pero este mensaje es falso: Figura 4. Mensaje falso utilizando técnicas de ingeniería social. Además, los diferentes idiomas utilizados en el texto asociado con este comportamiento sugieren que, además de Japón, también se dirigen a Corea del Sur, Francia, Alemania e India: Figura 5. Mensajes falsos diseñados para diferentes países. Una vez completada la inicialización del malware, creará un canal de notificación que se utilizará para mostrar mensajes de phishing: Figura 6. Cree un canal de notificación para el próximo ataque de phishing. El malware comprueba el operador del dispositivo y utiliza esta notificación para enviar mensajes de phishing en consecuencia para engañar a los usuarios para que hagan clic en ellos. MoqHao recibe el mensaje de phishing y la URL de phishing de los perfiles de Pinterest. Figura 7. Mensaje de phishing y URL en el perfil de Pinterest Si la cadena de phishing está vacía, MoqHao usará el mensaje de phishing en el código: Figura 8. Código de notificación de phishing para cada operador. Esta variante también se conecta al servidor C2 a través de WebSocket. Sin embargo, se ha confirmado que se han agregado varios otros comandos además de los comandos introducidos en la publicación anterior: Comando Descripción getSmsKW Enviar todos los mensajes SMS al servidor C2 sendSms Enviar mensajes SMS a alguien setWifi Activar/desactivar Wifi gcont Enviar contactos completos a Bloqueo del servidor C2 Almacenar el valor booleano en la clave «lock» en SharedPreferences bc Verificar el estado de SIM setForward Almacenar el valor de cadena en la clave «fs» en SharedPreferences getForward Obtener el valor de cadena en la clave «fs» en SharedPreferences hasPkg Verificar el paquete específico instalado en el dispositivo setRingerMode Establecer sonido/ Modo vibración/silencio setRecEnable Establece el modo vibración/silencio según la versión del SDK reqState Enviar información del dispositivo (red, alimentación, MAC, permiso) al servidor C2 showHome Emular botón Inicio haga clic en getnpki Enviar certificado público coreano (NPKI) al servidor C2 http Enviar solicitudes HTTP call Llame a un número específico en modo silencioso get_apps Obtenga una lista de paquetes instalados ping Verifique el estado del servidor C2 getPhoneState Obtenga información única como IMEI, número SIM, ID de Android y número de serie get_photo Envíe todas las fotos al servidor C2 La familia de malware MoqHao es un malware activo que existe desde hace años. Aunque han pasado muchos años, cada vez utilizan más formas diferentes para ocultar y llegar a los usuarios. Estamos viendo una cantidad mucho mayor de comandos C2 que antes, el uso activo de sitios legítimos como Pinterest para almacenar y actualizar datos de phishing y códigos con el potencial de apuntar a países asiáticos como Japón y Corea del Sur, así como a países como Francia. , Alemania e India. Además, esperamos que esta nueva variante tenga un gran impacto porque infecta dispositivos simplemente al instalarse sin ejecutarse. Es difícil para los usuarios generales encontrar aplicaciones falsas que utilicen íconos y nombres de aplicaciones legítimos, por lo que recomendamos a los usuarios que instalen software seguro para proteger sus dispositivos. Para obtener más información, visite McAfee Mobile Security. Indicadores de compromiso (IOC) SHA256 Nombre de la aplicación Nombre del paquete 2576a166d3b18eafc2e35a7de3e5549419d10ce62e0eeb24bad5a1daaa257528 chrome gb.pi.xcxr.xd 61b4cca67762a4cf31209056ea17b6fb212 e175ca330015d804122ee6481688e chrome malmkb.zdbd.ivakf.lrhrgf b044804cf731cd7dd79000b7c6abce7b642402b275c1eb25712607fc1e5e3d2b chrome vfqhqd.msk.xux.njs bf 102125a6fca5e96aed855b45bbed9aa0bc964198ce207f2e63a71487ad793a cromo hohoj.vlcwu.lm.ext e72f46f15e50ce7cee5c4c0c5a5277e8be4bb3dd23d08ea79e1deacb8f004136 cromado .hg.rrfy.wrlpp f6323f8d8cfa4b5053c65f8c1862a8e6844b35b260f61735b3cf8d19990fef42 chrome gqjoyp.cixq.zbh.llr Presentamos McAfee+ Protección contra robo de identidad y privacidad para su vida digital Descargue McAfee+ ahora \x3Cimg height=» 1″ ancho=»1″ estilo=»display:none» src= «https://www.facebook.com/tr?id=766537420057144&ev=PageView&noscript=1» />\x3C/noscript>’);