Recentemente il Mobile Research Team di McAfee ha scoperto una variante del tojan Android nota come MoqHao che può essere eseguita automaticamente dopo l’installazione senza l’interazione dell’utente.
“[Gli attori malevoli] Inviano un collegamento per scaricare l’app dannosa tramite un messaggio SMS. Il tipico MoqHao richiede agli utenti di installare e avviare l’app per ottenere lo scopo desiderato, ma questa nuova variante non richiede esecuzione. Mentre l’app è installata, la sua attività dannosa viene avviata automaticamente.“, spiega il ricercatore McAfee Dexter Shin, “Questa tecnica è stata spiegata in un post precedente , ma la differenza è che questa tecnica pericolosa viene ora abusata da altre note campagne malware attive come MoqHao.“
La nuova variante MoqHao
MoqHao è una nota famiglia di malware Android scoperta per la prima volta nel 2015, costantemente evoluta in capacità ed efficacia ed associata al gruppo di autori delle minacce “Roaming Mantis“. La sua ultima iterazione crea canali di notifica per eseguire attacchi di phishing personalizzati sui dispositivi compromessi estraendo messaggi e URL da profili Pinterest, probabilmente per eludere il rilevamento e cambiarli al volo, qualora ce ne fosse bisogno. Inoltre, il malware può eseguire una larga gamma di comandi che riceve dal suo server C2 tramite il protocollo WebSocket. Le ultime campagne di distribuzione si starebbero rivolgendo principalmente agli utenti di Germania, Francia, Giappone, Corea del Sud e India come suggeriscono le diverse lingue previste per il testo dei messaggi di ingegneria sociale impiegati.
Come avviene la distribuzione, l’installazione e l’esecuzione automatica
Secondo McAfee gli attori distribuiscono il malware principalmente tramite SMS contenenti uno short link che porta a scaricare ed installare da un sito fraudolento un file APK Android che nasconde la variante di MoqHao con capacità di avviarsi automaticamente dopo l’installazione. Ciò consente al malware di eseguire la propria attività malevola in background. Per arrivare allo scopo Roaming Mantis maschera le proprie APK da software legittimo come il browser web Chrome che con messaggi popup inganna l’utente inducendolo ad approvare autorizzazioni sul dispositivo per invio e accesso a contenuti e contatti, l’esecuzione in background e l’impostazione dell’app come applicazione per la lettura SMS predefinita, giustificando quest’ultima richiesta come attività antispam. Ecco una rappresentazione video di un attacco.
Possibili mitigazioni
Dexter Shin conclude il rapporto consigliando, per proteggere i propri dispositivi, di installare software di sicurezza aggiornato sulla base degli IoC (indici di compromissione) noti.
Nel frattempo McAfee partner dell’App Defense Alliance di Android fa sapere di avere già segnalato l’abuso di questa tecnica di esecuzione automatica a Google allo scopo di implementare mitigazioni nella prossime versioni di Android, precisando che “Gli utenti Android sono attualmente protetti da Google Play Protect , che è attivo per impostazione predefinita sui dispositivi Android con Google Play Services. Google Play Protect può avvisare gli utenti o bloccare app note per manifestare comportamenti dannosi, anche quando tali app provengono da fonti esterne a Play.“.