Phần mềm độc hại Android MoqHao mới bị phát hiện với khả năng tự động thực thi

Các chuyên gia bảo mật vừa phát hiện được một biến thể mới của phần mềm độc hại Android có tên MoqHao, tự động thực thi trên các thiết bị bị nhiễm mà không yêu cầu bất kỳ tương tác nào của người dùng.

MoqHao yêu cầu người dùng cài đặt và khởi chạy ứng dụng để đạt được mục đích mong muốn, nhưng biến thể mới này không yêu cầu thực thi. Trong khi ứng dụng được cài đặt, hoạt động độc hại của chúng sẽ tự động bắt đầu.

Mục tiêu của chiến dịch bao gồm người dùng Android ở Pháp, Đức, Ấn Độ, Nhật Bản và Hàn Quốc.

MoqHao, còn được gọi là Wroba và XLoader (khác với phần mềm độc hại cùng tên của Windows và macOS), là một mối đe dọa di động dựa trên Android có liên quan đến một cụm có động cơ tài chính của Trung Quốc có tên là Roaming Mantis (hay còn gọi là Shaoye).

Các chuỗi tấn công bắt đầu bằng các tin nhắn SMS có chủ đề các gói chứa liên kết lừa đảo, khi bị nhấp vào từ các thiết bị Android, sẽ dẫn đến việc triển khai phần mềm độc hại nhưng chuyển hướng nạn nhân đến các trang thu thập thông tin xác thực mạo danh trang đăng nhập iCloud của Apple khi được truy cập từ iPhone.

Kể từ đầu năm ngoái, các phiên bản cập nhật của MoqHao đã bị phát hiện có khả năng xâm nhập vào các bộ định tuyến Wi-Fi và thực hiện việc chiếm quyền điều khiển Hệ thống tên miền (DNS), cho thấy cam kết của kẻ thù trong việc đổi mới kho vũ khí của mình.

Phiên bản mới nhất của MoqHao tiếp tục được phân phối thông qua các kỹ thuật smishing, nhưng điều đã thay đổi là tải trọng độc hại được chạy tự động khi cài đặt và nhắc nạn nhân cấp cho nó các quyền rủi ro mà không cần khởi chạy ứng dụng, một hành vi trước đây được phát hiện với các ứng dụng không có thật có chứa Phần mềm độc hại HiddenAds

Điều cũng được cải tiến là các liên kết được chia sẻ trong tin nhắn SMS sẽ bị ẩn bằng cách sử dụng công cụ rút ngắn URL để tăng khả năng thành công của cuộc tấn công. Nội dung của những tin nhắn này được trích xuất từ trường tiểu sử (hoặc mô tả) từ các hồ sơ Pinterest lừa đảo được thiết lập cho mục đích này.

MoqHao được trang bị một số tính năng cho phép thu thập thông tin nhạy cảm một cách lén lút như siêu dữ liệu thiết bị, danh bạ, tin nhắn SMS và ảnh, gọi các số cụ thể ở chế độ im lặng và bật/tắt Wi-Fi, cùng nhiều tính năng khác.

Hoạt động này, hoạt động ít nhất từ năm 2015, được ước tính nhằm kiểm soát một mạng botnet bao gồm 170.000 bot hoạt động hàng ngày, hầu hết trong số đó được đặt tại Brazil. Tuy nhiên, 1,3 triệu địa chỉ IP riêng biệt của Brazil đã được liên kết với Bigpanzi kể từ tháng 8 năm 2023.

Việc lây nhiễm có thể xảy ra bằng cách lừa người dùng cài đặt các ứng dụng có bẫy để phát trực tuyến các bộ phim và chương trình truyền hình lậu thông qua các trang web sơ sài.

Hương – Theo TheHackerNews