Bedreigingsjagers hebben een nieuwe variant van Android-malware geïdentificeerd, genaamd MoqHao dat automatisch wordt uitgevoerd op geïnfecteerde apparaten zonder enige gebruikersinteractie.
“Typisch MoqHao vereist dat gebruikers de app installeren en starten om het gewenste doel te bereiken, maar deze nieuwe variant vereist geen uitvoering”, zei McAfee Labs in een rapport dat deze week werd gepubliceerd. “Terwijl de app is geïnstalleerd, starten hun kwaadaardige activiteiten automatisch.”
De doelstellingen van de campagne omvatten Android-gebruikers in Frankrijk, Duitsland, India, Japan en Zuid-Korea.
MoqHao, ook wel Wroba en XLoader genoemd (niet te verwarren met de Windows- en macOS-malware met dezelfde naam), is een op Android gebaseerde mobiele bedreiging die wordt geassocieerd met een Chinees financieel gemotiveerd cluster genaamd Roaming Mantis (ook bekend als Shaoye).
Typische aanvalsketens beginnen met sms-berichten met pakketbezorgingsthema met frauduleuze links die, wanneer erop wordt geklikt vanaf Android-apparaten, leiden tot de implementatie van de malware, maar de slachtoffers omleiden naar pagina’s voor het verzamelen van inloggegevens die de iCloud-inlogpagina van Apple nabootsen wanneer ze worden bezocht vanaf een iPhone.
In juli 2022 beschreef Sekoia een campagne waarbij minstens 70.000 Android-apparaten in Frankrijk in gevaar kwamen. Sinds begin vorig jaar is gebleken dat bijgewerkte versies van MoqHao Wi-Fi-routers infiltreren en het Domain Name System (DNS) kapen, wat de toewijding van de tegenstander aan het innoveren van zijn arsenaal onthult.
De nieuwste versie van MoqHao wordt nog steeds verspreid via smishing-technieken, maar wat veranderd is, is dat de kwaadaardige lading automatisch wordt uitgevoerd tijdens de installatie en het slachtoffer vraagt om risicovolle machtigingen te verlenen zonder de app te starten, een gedrag dat eerder werd opgemerkt bij nep-apps die de HiddenAds-malware.
Wat ook een facelift heeft gekregen, is dat de links die in de sms-berichten zelf worden gedeeld, worden verborgen met behulp van URL-verkorters om de kans op succes van de aanval te vergroten. De inhoud van deze berichten wordt uit het bio- (of beschrijvings)veld gehaald uit frauduleuze Pinterest-profielen die voor dit doel zijn opgezet.
MoqHao is uitgerust met verschillende functies waarmee het heimelijk gevoelige informatie kan verzamelen, zoals metagegevens van het apparaat, contacten, sms-berichten en foto’s, specifieke nummers kan bellen met de stille modus en onder meer Wi-Fi kan in-/uitschakelen.
McAfee zei dat het de bevindingen heeft gerapporteerd aan Google, dat naar verluidt “al werkt aan de implementatie van oplossingen om dit soort automatische uitvoering in een toekomstige Android-versie te voorkomen.”
De ontwikkeling komt op het moment dat het Chinese cyberbeveiligingsbedrijf QiAnXin onthulde dat een voorheen onbekend cybercriminaliteitssyndicaat genaamd Bigpanzi in verband is gebracht met het compromitteren van op Android gebaseerde smart-tv’s en settopboxen (STB’s) om ze samen te brengen in een botnet voor het uitvoeren van gedistribueerde ontkenning. of-service (DDoS)-aanvallen.
De operatie, die ten minste sinds 2015 actief is, zal naar schatting een botnet controleren dat bestaat uit 170.000 dagelijks actieve bots, waarvan de meeste zich in Brazilië bevinden. Sinds augustus 2023 zijn echter 1,3 miljoen verschillende Braziliaanse IP-adressen aan Bigpanzi gekoppeld.
De infecties worden mogelijk gemaakt door gebruikers ertoe te verleiden boobytrap-apps te installeren voor het streamen van illegale films en tv-programma’s via schetsmatige websites. De campagne werd voor het eerst bekendgemaakt door de Russische antivirusleverancier Doctor Web in september 2023.
“Eenmaal geïnstalleerd transformeren deze apparaten in operationele knooppunten binnen hun illegale streaming mediaplatform, dat zich richt op diensten zoals verkeersproxy, DDoS-aanvallen, OTT-inhoudsvoorziening en piratenverkeer”, aldus QiAnXin-onderzoekers.
“Het potentieel van door Bigpanzi gecontroleerde tv’s en STB’s om gewelddadige, terroristische of pornografische inhoud uit te zenden, of om steeds overtuigender door AI gegenereerde video’s te gebruiken voor politieke propaganda, vormt een aanzienlijke bedreiging voor de sociale orde en stabiliteit.”
