FERRAMENTAS LINUX: MoqHao-Trojan bancário tem como alvo usuários de Android Sul Coreanos

quinta-feira, 31 de agosto de 2017

MoqHao-Trojan bancário tem como alvo usuários de Android Sul Coreanos




saiba mais sobre o Trojan MoqHao!!



Um trojan de Android,  foi recentemente descoberto, visando usuários sul-coreanos por meio de mensagens de phishing SMS (smishing) foi vinculado a uma campanha de infecção de dois anos atrás, revelam os pesquisadores de segurança da McAfee.

As mensagens de phishing para dispositivos móveis tentam atrair os usuários para a execução de malware, alegando ligar a uma imagem privada vazada ou apresentando como uma atualização do Chrome. Uma vez que o usuário clica no link encurtado na mensagem, no entanto, o Trojan bancário denominado MoqHao está instalado.

Uma vez que um dispositivo foi comprometido, o malware pode enviar mensagens SMS de phishing aos contatos do usuário; pode transmitir informações confidenciais, incluindo mensagens SMS recebidas; pode instalar aplicativos Android fornecidos pelo servidor de comando e controle (C & C); pode executar comandos remotos e retornar resultados, e pode coletar informações confidenciais através de um site de phishing local da Google, descobriu a McAfee .

Durante a instalação, o malware solicita várias permissões que permitem que ele execute suas operações nefastas, como números de telefone de chamada, contatos de acesso e leia mensagens de texto. Em seguida, a ameaça solicita privilégios de administrador para alcançar a persistência e exibe a janela de solicitação continuamente, mesmo que o usuário o descarte.

O MoqHao registra dinamicamente um receptor de transmissão para eventos do sistema, como a nova instalação de pacotes, o estado da tela, mensagens SMS e muito mais, o que permite espiar as atividades do usuário e enviar informações de status do dispositivo para o C & C. O malware também se conecta ao servidor remoto do primeiro estágio e recebe dinamicamente o IP para o servidor de segundo estágio da página de perfil do usuário do mecanismo de pesquisa chinês Baidu.

Depois de se conectar a este servidor, o malware envia uma mensagem contendo informações do dispositivo, tais como: UUID, IMEI, versão Android, nome do produto do dispositivo, string de ID de compilação, status do raiz, status do SIM, número de telefone e contas registradas. Outros detalhes são enviados periodicamente para o servidor, incluindo: operador de rede e tipo (LTE, GPRS), endereço MAC, nível de bateria, nível de sinal Wi-Fi, direitos de administrador do dispositivo, tela on / off, modo de campainha e se o pacote atual é ignorando a otimização da bateria ou não.

O Trojan verifica os dispositivos infectados para os principais aplicativos do banco coreano e baixa versões falsas ou trojanizadas relevantes desses programas se os encontrar. Em seguida, alerta a vítima de que uma atualização está disponível para o aplicativo direcionado. Uma vez que a vítima aprova a atualização, o aplicativo malicioso substitui o legítimo.

Durante a análise, no entanto, os pedidos de malware para baixar os aplicativos mal-intencionados resultaram em um erro. De acordo com a McAfee, a funcionalidade pode não ser implementada ou não em uso, dado que os usuários infectados não relataram a tentativa de instalação de arquivos APK adicionais.

Os pesquisadores de segurança observaram o Android / MoqHao em janeiro, mas isso parecia mais uma versão de teste. As variantes atualizadas do malware foram observadas em fevereiro e março, mas a primeira iteração sem teste surgiu somente em maio.

O trojan bancário, dizem os pesquisadores, parece estar conectado a um ataque de maio de 2015 visando usuários na Coréia do Sul através de uma mensagem de phishing no navegador da Web padrão. Embora essa mensagem tenha sido muito parecida com a expansão do Android / MoqHao e as duas variantes de malware compartilham algum comportamento e funcionalidade, as ameaças têm bases de código completamente diferentes.

"As semelhanças entre as campanhas de phishing de 2015 e 2017 sugerem os mesmos cibercriminosos, que mudaram de ataques de redirecionamento de DNS para uma campanha de amaldiçoamento. Os atacantes ainda estão segmentando o Chrome e obtendo o servidor de controle a partir de uma página da Web dinâmica ao alterar a base de código do componente inicial do conta-gotas, bem como a carga útil carregada dinamicamente ", diz McAfee.



Fonte

Até a próxima!!

Nenhum comentário:

Postar um comentário