Os caçadores de ameaças identificaram uma novidade versão de malware Android chamada MoqHao que é executado maquinalmente em dispositivos infectados sem exigir qualquer interação do usuário.
“O MoqHao típico exige que os usuários instalem e iniciem o aplicativo para atingir a finalidade desejada, mas esta novidade versão não requer realização”, disse o McAfee Labs em um relatório publicado esta semana. “Enquanto o aplicativo é instalado, a atividade maliciosa começa maquinalmente.”
Os alvos da campanha incluem usuários do Android localizados na França, Alemanha, Índia, Japão e Coreia do Sul.
MoqHao, também chamado de Wroba e XLoader (não deve ser confundido com o malware de mesmo nome para Windows e macOS), é uma prenúncio traste baseada em Android associada a um cluster chinês com motivação financeira chamado Roaming Mantis (também divulgado uma vez que Shaoye).
Cadeias de ataque típicas começam com mensagens SMS com tema de entrega de pacotes contendo links fraudulentos que, quando clicados em dispositivos Android, levam à implantação do malware, mas redirecionam as vítimas para páginas de coleta de credenciais que se fazem passar pela página de login do iCloud da Apple quando visitadas de um iPhone.
Em julho de 2022, a Sekoia detalhou uma campanha que comprometeu pelo menos 70.000 dispositivos Android na França. Desde o início do ano pretérito, descobriu-se que versões atualizadas do MoqHao se infiltravam em roteadores Wi-Fi e realizavam o sequestro do Sistema de Nomes de Domínio (DNS), revelando o compromisso do rival em inovar seu arsenal.
A última iteração do MoqHao continua a ser distribuída por meio de técnicas de smishing, mas o que mudou é que a fardo maliciosa é executada maquinalmente em seguida a instalação e solicita que a vítima conceda permissões arriscadas sem iniciar o aplicativo, um comportamento anteriormente detectado em aplicativos falsos contendo o Malware HiddenAds.
O que também recebeu uma reformulação é que os links compartilhados nas próprias mensagens SMS são ocultados por meio de encurtadores de URL para aumentar a verosimilhança de sucesso do ataque. O teor dessas mensagens é tirado do campo bio (ou descrição) de perfis fraudulentos do Pinterest criados para esse término.
MoqHao está equipado com vários recursos que permitem coletar furtivamente informações confidenciais, uma vez que metadados do dispositivo, contatos, mensagens SMS e fotos, vincular para números específicos no modo sombrio e ativar/desativar Wi-Fi, entre outros.
A McAfee disse que relatou as descobertas ao Google, que “já está trabalhando na implementação de mitigações para evitar esse tipo de realização automática em uma versão futura do Android”.
O desenvolvimento ocorre no momento em que a empresa chinesa de segurança cibernética QiAnXin revela que um sindicato do violação cibernético até portanto incógnito chamado Bigpanzi foi vinculado ao comprometimento de smart TVs e decodificadores (STBs) baseados em Android, a término de encurralá-los em uma botnet para conduzir negação distribuída. ataques de serviço (DDoS).
Estima-se que a operação, ativa desde pelo menos 2015, controle uma botnet composta por 170 milénio bots ativos diariamente, a maioria deles localizados no Brasil. No entanto, 1,3 milhão de endereços IP brasileiros distintos foram associados ao Bigpanzi desde agosto de 2023.
As infecções são possíveis enganando os usuários para que instalem aplicativos com armadilhas para streaming de filmes e programas de TV piratas por meio de sites incompletos. A campanha foi divulgada pela primeira vez pelo fornecedor russo de antivírus Doctor Web em setembro de 2023.
“Uma vez instalados, esses dispositivos se transformam em nós operacionais dentro de sua plataforma de streaming de mídia ilícita, atendendo a serviços uma vez que proxy de tráfico, ataques DDoS, fornecimento de teor OTT e tráfico pirata”, disseram os pesquisadores da QiAnXin.
“O potencial das TVs e STBs controladas por Bigpanzi para transmitir teor violento, terrorista ou pornográfico, ou para empregar vídeos cada vez mais convincentes gerados por IA para propaganda política, representa uma prenúncio significativa à ordem e segurança social.”
