Исследователи обнаружили новую версию малвари для Android MoqHao (она же XLoader и Wroba), которая автоматически запускается на зараженных устройствах, не требуя какого-либо взаимодействия с пользователем.
MoqHao представляет собой Android-малварь, управляемую и созданную финансово мотивированным злоумышленниками из группы Roaming Mantis. Ранее этот вредонос был замечен в атаках на пользователей из США, Великобритании, Германии, Франции, Японии, Южной Кореи и Тайваня.
Как правило, хакеры распространяют свою малварь через SMS-сообщения, якобы содержащие информацию о доставке посылки и сокращенный URL-адрес, который ведет на сайт, предоставляющий жертвам вредоносный файл APK (или на фейковую страницу входа в iCloud Apple при посещении с iPhone).
MoqHao оснащен многочисленными функциями, которые позволяют ему незаметно собирать конфиденциальную информацию жертв, включая метаданные устройства, список контактов, SMS-сообщения и фото, звонить на определенные номера в беззвучном режиме, а также включать/отключать Wi-Fi и так далее.
Чтобы избежать обнаружения, хакеры используют Unicode-строки, маскируя вредоносные APK под легитимное ПО, в частности, под браузер Chrome. Такая маскировка необходима, чтобы обманом вынудить пользователя одобрить приложению опасные разрешения, включая отправку и доступ к содержимому SMS, а также разрешение всегда работать в фоновом режиме (путем добавления в исключения Android Battery Optimization).
Фальшивый Chrome также просит пользователя установить себя в качестве приложения по умолчанию для работы с SMS, утверждая, что это поможет предотвратить спам.
Как сообщают специалисты McAfee, помимо этого, последние варианты MoqHao демонстрируют возможность автоматического запуска сразу после установки. Это позволяет малвари работать скрытно в фоновом режиме и перехватывать конфиденциальную информацию пользователя.
«Вредоносная активность приложения начинается автоматически, как только оно устанавливается. Мы уже сообщили об этой технике атак в Google, и они уже работают над внедрением мер по предотвращению такого автовыполнения в будущих версиях Android», — рассказывают исследователи.
Кроме того отмечается, что новая версия XLoader извлекает фишинговые сообщения и целевые URL-адреса из профилей Pinterest, что позволяет хакерам избегать обнаружения защитными средствами, которые отслеживают подозрительные источники трафика. Также использование Pinterest позволяет быстро менять фишинговые адреса и сообщения, и для этого не приходится рисковать, отправляя обновление для малвари прямо на устройство.
Если связаться с Pinterest не удается, вредонос переходит к использованию жестко закодированных фишинговых сообщений, предупреждающих пользователя о проблемах с его банковским счетом, которые требуют немедленных мер.
