Android-вредонос MoqHao автоматически запускается после установки - «Новости»

  • 10:30, 13-фев-2024
  • Новости / Изображения / Преимущества стилей / Вёрстка / Сайтостроение / Добавления стилей
  • Mathews
  • 0

Исследователи обнаружили новую версию малвари для Android MoqHao (она же XLoader и Wroba), которая автоматически запускается на зараженных устройствах, не требуя какого-либо взаимодействия с пользователем.


MoqHao представляет собой Android-малварь, управляемую и созданную финансово мотивированным злоумышленниками из группы Roaming Mantis. Ранее этот вредонос был замечен в атаках на пользователей из США, Великобритании, Германии, Франции, Японии, Южной Кореи и Тайваня.


Как правило, хакеры распространяют свою малварь через SMS-сообщения, якобы содержащие информацию о доставке посылки и сокращенный URL-адрес, который ведет на сайт, предоставляющий жертвам вредоносный файл APK (или на фейковую страницу входа в iCloud Apple при посещении с iPhone).


MoqHao оснащен многочисленными функциями, которые позволяют ему незаметно собирать конфиденциальную информацию жертв, включая метаданные устройства, список контактов, SMS-сообщения и фото, звонить на определенные номера в беззвучном режиме, а также включать/отключать Wi-Fi и так далее.


Android-вредонос MoqHao автоматически запускается после установки - «Новости»

Отличие старых и новой версии MoqHao

Чтобы избежать обнаружения, хакеры используют Unicode-строки, маскируя вредоносные APK под легитимное ПО, в частности, под браузер Chrome. Такая маскировка необходима, чтобы обманом вынудить пользователя одобрить приложению опасные разрешения, включая отправку и доступ к содержимому SMS, а также разрешение всегда работать в фоновом режиме (путем добавления в исключения Android Battery Optimization).


Фальшивый Chrome также просит пользователя установить себя в качестве приложения по умолчанию для работы с SMS, утверждая, что это поможет предотвратить спам.





Как сообщают специалисты McAfee, помимо этого, последние варианты MoqHao демонстрируют возможность автоматического запуска сразу после установки. Это позволяет малвари работать скрытно в фоновом режиме и перехватывать конфиденциальную информацию пользователя.


«Вредоносная активность приложения начинается автоматически, как только оно устанавливается. Мы уже сообщили об этой технике атак в Google, и они уже работают над внедрением мер по предотвращению такого автовыполнения в будущих версиях Android», — рассказывают исследователи.


Кроме того отмечается, что новая версия XLoader извлекает фишинговые сообщения и целевые URL-адреса из профилей Pinterest, что позволяет хакерам избегать обнаружения защитными средствами, которые отслеживают подозрительные источники трафика. Также использование Pinterest позволяет быстро менять фишинговые адреса и сообщения, и для этого не приходится рисковать, отправляя обновление для малвари прямо на устройство.





Если связаться с Pinterest не удается, вредонос переходит к использованию жестко закодированных фишинговых сообщений, предупреждающих пользователя о проблемах с его банковским счетом, которые требуют немедленных мер.


Исследователи обнаружили новую версию малвари для Android MoqHao (она же XLoader и Wroba), которая автоматически запускается на зараженных устройствах, не требуя какого-либо взаимодействия с пользователем. MoqHao представляет собой Android-малварь, управляемую и созданную финансово мотивированным злоумышленниками из группы Roaming Mantis. Ранее этот вредонос был замечен в атаках на пользователей из США, Великобритании, Германии, Франции, Японии, Южной Кореи и Тайваня. Как правило, хакеры распространяют свою малварь через SMS-сообщения, якобы содержащие информацию о доставке посылки и сокращенный URL-адрес, который ведет на сайт, предоставляющий жертвам вредоносный файл APK (или на фейковую страницу входа в iCloud Apple при посещении с iPhone). MoqHao оснащен многочисленными функциями, которые позволяют ему незаметно собирать конфиденциальную информацию жертв, включая метаданные устройства, список контактов, SMS-сообщения и фото, звонить на определенные номера в беззвучном режиме, а также включать/отключать Wi-Fi и так далее. Отличие старых и новой версии MoqHao Чтобы избежать обнаружения, хакеры используют Unicode-строки, маскируя вредоносные APK под легитимное ПО, в частности, под браузер Chrome. Такая маскировка необходима, чтобы обманом вынудить пользователя одобрить приложению опасные разрешения, включая отправку и доступ к содержимому SMS, а также разрешение всегда работать в фоновом режиме (путем добавления в исключения Android Battery Optimization). Фальшивый Chrome также просит пользователя установить себя в качестве приложения по умолчанию для работы с SMS, утверждая, что это поможет предотвратить спам. Как сообщают специалисты McAfee, помимо этого, последние варианты MoqHao демонстрируют возможность автоматического запуска сразу после установки. Это позволяет малвари работать скрытно в фоновом режиме и перехватывать конфиденциальную информацию пользователя. «Вредоносная активность приложения начинается автоматически, как только оно устанавливается. Мы уже сообщили об этой технике атак в Google, и они уже работают над внедрением мер по предотвращению такого автовыполнения в будущих версиях Android», — рассказывают исследователи. Кроме того отмечается, что новая версия XLoader извлекает фишинговые сообщения и целевые URL-адреса из профилей Pinterest, что позволяет хакерам избегать обнаружения защитными средствами, которые отслеживают подозрительные источники трафика. Также использование Pinterest позволяет быстро менять фишинговые адреса и сообщения, и для этого не приходится рисковать, отправляя обновление для малвари прямо на устройство. Если связаться с Pinterest не удается, вредонос переходит к использованию жестко закодированных фишинговых сообщений, предупреждающих пользователя о проблемах с его банковским счетом, которые требуют немедленных мер.

Другие новости


Рекомендуем

Комментарии (0)




Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!