“Roaming Mantis” colpisce gli utenti Android con un’evoluzione del trojan MoqHao

Recentemente il Mobile Research Team di McAfee ha scoperto una variante del tojan Android nota come MoqHao che può essere eseguita automaticamente dopo l’installazione senza l’interazione dell’utente. 

[Gli attori malevoli] Inviano un collegamento per scaricare l’app dannosa tramite un messaggio SMS. Il tipico MoqHao richiede agli utenti di installare e avviare l’app per ottenere lo scopo desiderato, ma questa nuova variante non richiede esecuzione. Mentre l’app è installata, la sua attività dannosa viene avviata automaticamente.“, spiega il ricercatore McAfee Dexter Shin, “Questa tecnica è stata spiegata in un post precedente , ma la differenza è che questa tecnica pericolosa viene ora abusata da altre note campagne malware attive come MoqHao.

La nuova variante MoqHao

MoqHao è una nota famiglia di malware Android scoperta per la prima volta nel 2015, costantemente evoluta in capacità ed efficacia ed associata al gruppo di autori delle minacce “Roaming Mantis“. La sua ultima iterazione crea canali di notifica per eseguire attacchi di phishing personalizzati sui dispositivi compromessi estraendo messaggi e URL da profili Pinterest, probabilmente per eludere il rilevamento e cambiarli al volo, qualora ce ne fosse bisogno. Inoltre, il malware può eseguire una larga gamma di comandi che riceve dal suo server C2 tramite il protocollo WebSocket. Le ultime campagne di distribuzione si starebbero rivolgendo principalmente agli utenti di Germania, Francia, Giappone, Corea del Sud e India come suggeriscono le diverse lingue previste per il testo dei messaggi di ingegneria sociale impiegati.

Fonte McAfee

Come avviene la distribuzione, l’installazione e l’esecuzione automatica

Secondo McAfee gli attori distribuiscono il malware principalmente tramite SMS contenenti uno short link che porta a scaricare ed installare da un sito fraudolento un file APK Android che nasconde la variante di MoqHao con capacità di avviarsi automaticamente dopo l’installazione. Ciò consente al malware di eseguire la propria attività malevola in background. Per arrivare allo scopo Roaming Mantis maschera le proprie APK da software legittimo come il browser web Chrome che con messaggi popup inganna l’utente inducendolo ad approvare autorizzazioni sul dispositivo per invio e accesso a contenuti e contatti, l’esecuzione in background e l’impostazione dell’app come applicazione per la lettura SMS predefinita, giustificando quest’ultima richiesta come attività antispam. Ecco una rappresentazione video di un attacco.

Distribuzione, installazione e esecuzione automatica della variante MoqHao (Fonte McAfee)

Possibili mitigazioni

Dexter Shin conclude il rapporto consigliando, per proteggere i propri dispositivi, di installare software di sicurezza aggiornato sulla base degli IoC (indici di compromissione) noti.

Nel frattempo McAfee partner dell’App Defense Alliance di Android fa sapere di avere già segnalato l’abuso di questa tecnica di esecuzione automatica a Google allo scopo di implementare mitigazioni nella prossime versioni di Android, precisando che “Gli utenti Android sono attualmente protetti da Google Play Protect , che è attivo per impostazione predefinita sui dispositivi Android con Google Play Services. Google Play Protect può avvisare gli utenti o bloccare app note per manifestare comportamenti dannosi, anche quando tali app provengono da fonti esterne a Play.“.

Su Salvatore Lombardo 241 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.