MoqHaoマルウェア

韓国のAndroidユーザーに対して悪用されたフィッシングキャンペーンは、MoqHaoMalwareという名前の新しいバンキング型トロイの木馬を配信しています。疑わしいルアーSMSメッセージには、偽のChromeAndroidアプリにつながる短縮URLが含まれています。ただし、その前に、JavaScriptは、リンクにアクセスするブラウザーのユーザーエージェントをチェックする役割を果たします。 Androidデバイスには、実際には武器化されたアプリケーションである新しいChromeアップデートの偽のアラートが表示されますが、他のタイプのデバイスは、韓国の人気オンラインプラットフォームであるNaverのセキュリティページにリダイレクトされます。

ダウンロードしたAPKが実行されると、電話番号に直接電話をかけたり、連絡先を読んだり、テキストメッセージを送信したりする機能など、デバイスに対する幅広い権限が要求されます。さらに、MoqHaoは、ユーザーにデバイス管理者権限を繰り返し要求することにより、永続性メカニズムの確立を試みます。このトロイの木馬をインストールすると、ホーム画面にGoogleChromeのロゴとほぼ同じ偽のアイコンが一時的に表示されてから非表示になります。

脅迫の機能

MoqHaoは、侵害されたデバイス上でさまざまな有害なアクティビティを実行することができます。マルウェアはユーザーの連絡先にアクセスし、フィッシングSMSメッセージの送信を開始してさらに増殖する可能性があります。また、操作のコマンドアンドコントロール（C2、C＆C）サーバーに盗み出される機密情報も収集します。 MoqHaoは、サーバーから追加のAndroidアプリをフェッチしてダウンロードしたり、リモートコマンドを受信したりすることもできます。

攻撃キャンペーンは、2つのサーバー構造を利用します。 MoqHaoは、第1ステージのサーバーに接続し、中国最大の検索エンジンであるBaiduのユーザープロファイルページから第2ステージのサーバーのIPアドレスを動的に取得します。 MoqHaoは、第2ステージのサーバーとの最初の通信中に、感染したデバイスに関するさまざまな情報（UUID、デバイスID、製品名、ビルドID文字列、Androidバージョン、SIMステータス、電話番号など）を含む「hello」メッセージを送信します。その後、設定された間隔で、マルウェアはネットワークオペレーター、ネットワークタイプ、MACアドレス、バッテリーレベルなどの追加の詳細を送信します。

偽の銀行アプリケーション

MoqHaoの主な目的は、ユーザーの銀行の資格情報を盗むことです。侵害されたデバイスをスキャンして、韓国のいくつかの主要銀行に属するアプリを探します。このようなアプリが発見された場合、トロイの木馬はC2サーバーから偽のバージョンまたはトロイの木馬バージョンをダウンロードします。次に、対象のアプリを新しいバージョンに更新する必要があることを示す偽のアラートをユーザーに表示します。ユーザーがトリックに陥った場合、正規のアプリが削除され、武器化されたバージョンがインストールされます。 MoqHaoの対象となるアプリは次のとおりです。

wooribank.pib.smart

kbstar.kbbank

ibk.neobanking

sc.danb.scbankapp

新韓銀行

hanabank.ebk.channel.android.hananbank

スマート

epost.psf.sdsi

kftc.kjbsmb

smg.spbs

MoqHao Androidバンキング型トロイの木馬が示す脅威となる機能のいくつかは、まだ開発中であるようです。実際、さまざまな程度の洗練度を備えたいくつかのテストバージョンがinfosecの研究者によってカタログ化されています。