Android-вредонос MoqHao автоматически запускается после установки

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.624
Репутация
11.595
Реакции
61.541
RUB
50
Исследователи новую версию малвари для Android MoqHao (она же XLoader и Wroba), которая автоматически запускается на зараженных устройствах, не требуя какого-либо взаимодействия с пользователем.


MoqHao представляет собой Android-малварь, управляемую и созданную финансово мотивированным злоумышленниками из группы Roaming Mantis. Ранее этот вредонос был в атаках на пользователей из США, Великобритании, Германии, Франции, Японии, Южной Кореи и Тайваня.

Как правило, хакеры распространяют свою малварь через SMS-сообщения, якобы содержащие информацию о доставке посылки и сокращенный URL-адрес, который ведет на сайт, предоставляющий жертвам вредоносный файл APK (или на фейковую страницу входа в iCloud Apple при посещении с iPhone).

MoqHao оснащен многочисленными функциями, которые позволяют ему незаметно собирать конфиденциальную информацию жертв, включая метаданные устройства, список контактов, SMS-сообщения и фото, звонить на определенные номера в беззвучном режиме, а также включать/отключать Wi-Fi и так далее.


Отличие старых и новой версии MoqHao

Чтобы избежать обнаружения, хакеры используют Unicode-строки, маскируя вредоносные APK под легитимное ПО, в частности, под браузер Chrome. Такая маскировка необходима, чтобы обманом вынудить пользователя одобрить приложению опасные разрешения, включая отправку и доступ к содержимому SMS, а также разрешение всегда работать в фоновом режиме (путем добавления в исключения Android Battery Optimization).

Фальшивый Chrome также просит пользователя установить себя в качестве приложения по умолчанию для работы с SMS, утверждая, что это поможет предотвратить спам.



Как сообщают специалисты McAfee, помимо этого, последние варианты MoqHao демонстрируют возможность автоматического запуска сразу после установки. Это позволяет малвари работать скрытно в фоновом режиме и перехватывать конфиденциальную информацию пользователя.

«Вредоносная активность приложения начинается автоматически, как только оно устанавливается. Мы уже сообщили об этой технике атак в Google, и они уже работают над внедрением мер по предотвращению такого автовыполнения в будущих версиях Android», — рассказывают исследователи.

Кроме того отмечается, что новая версия XLoader извлекает фишинговые сообщения и целевые URL-адреса из профилей Pinterest, что позволяет хакерам избегать обнаружения защитными средствами, которые отслеживают подозрительные источники трафика. Также использование Pinterest позволяет быстро менять фишинговые адреса и сообщения, и для этого не приходится рисковать, отправляя обновление для малвари прямо на устройство.



Если связаться с Pinterest не удается, вредонос переходит к использованию жестко закодированных фишинговых сообщений, предупреждающих пользователя о проблемах с его банковским счетом, которые требуют немедленных мер.


 
  • Теги
    android-малварь xloader малварь для android moqhao
  • Сверху Снизу