Bedrohungsjäger haben eine neue Variante von Android-Malware identifiziert, die MoqHao genannt wird und automatisch auf infizierten Geräten ausgeführt wird, ohne dass eine Benutzerinteraktion erforderlich ist.
„Typischerweise erfordert MoqHao, dass Benutzer die App installieren und starten, um ihren gewünschten Zweck zu erzielen, aber diese neue Variante erfordert keine Ausführung“, sagte McAfee Labs in einem diese Woche veröffentlichten Bericht. „Während die App installiert ist, startet ihre bösartige Aktivität automatisch.“
Zu den Zielen der Kampagne gehören Android-Benutzer in Frankreich, Deutschland, Indien, Japan und Südkorea.
MoqHao, auch bekannt als Wroba und XLoader (nicht zu verwechseln mit der gleichnamigen Windows- und macOS-Malware), ist eine auf Android basierende mobile Bedrohung, die mit einem chinesischen finanziell motivierten Cluster namens Roaming Mantis (alias Shaoye) in Verbindung gebracht wird.
Typische Angriffsketten beginnen mit per SMS versandten Paketzustellungs-Themenmitteilungen mit betrügerischen Links, die bei einem Klick von Android-Geräten zur Bereitstellung der Malware führen, aber Opfer auf Seiten zur Sammlung von Anmeldeinformationen führen, die Apples iCloud-Anmeldeseite nachahmen, wenn sie von einem iPhone aus besucht werden.
Im Juli 2022 beschrieb Sekoia eine Kampagne, bei der mindestens 70.000 Android-Geräte in Frankreich kompromittiert wurden. Seit Anfang letzten Jahres wurde festgestellt, dass aktualisierte Versionen von MoqHao in Wi-Fi-Routern eindringen und Domain Name System (DNS)-Hijacking durchführen, was auf das Bekenntnis des Gegners zur Innovation seines Arsenals hinweist.
Die neueste Version von MoqHao wird weiterhin über Smishing-Techniken verbreitet, aber das, was sich geändert hat, ist, dass die bösartige Nutzlast automatisch nach der Installation ausgeführt wird und das Opfer dazu auffordert, riskante Berechtigungen zu erteilen, ohne die App zu starten, ein Verhalten, das zuvor bei gefälschten Apps mit der HiddenAds-Malware festgestellt wurde.
Was auch ein Facelifting erhalten hat, ist, dass die in den SMS-Nachrichten geteilten Links mithilfe von URL-Verkürzern verborgen sind, um die Erfolgswahrscheinlichkeit des Angriffs zu erhöhen. Der Inhalt für diese Nachrichten wird aus dem Bio- oder Beschreibungsfeld von gefälschten Pinterest-Profilen extrahiert, die zu diesem Zweck eingerichtet wurden.
MoqHao ist mit mehreren Funktionen ausgestattet, mit denen es heimlich sensible Informationen wie Gerätemetadaten, Kontakte, SMS-Nachrichten und Fotos sammeln, bestimmte Nummern im lautlosen Modus anrufen und Wi-Fi aktivieren/deaktivieren kann, unter anderem.
McAfee gab an, die Ergebnisse an Google gemeldet zu haben, das angeblich „bereits an der Umsetzung von Maßnahmen arbeitet, um diese Art der automatischen Ausführung in einer zukünftigen Android-Version zu verhindern“.
Die Entwicklung kommt, während die chinesische Cybersicherheitsfirma QiAnXin bekannt gab, dass eine zuvor unbekannte Cyberkriminalitätsgemeinschaft namens Bigpanzi mit der Kompromittierung von auf Android basierenden Smart-TVs und Set-Top-Boxen (STBs) in Verbindung gebracht wurde, um sie in ein Botnetz für verteilte Denial-of-Service (DDoS)-Angriffe zu zwingen.
Die seit mindestens 2015 aktive Operation wird auf eine Botnetz-Steuerung von 170.000 täglich aktiven Bots geschätzt, von denen sich die meisten in Brasilien befinden. Seit August 2023 wurden jedoch 1,3 Millionen unterschiedliche brasilianische IP-Adressen mit Bigpanzi in Verbindung gebracht.
Die Infektionen werden durch Trickserei der Benutzer ermöglicht, boobytrapped Apps für das Streaming von raubkopierten Filmen und TV-Sendungen über dubiose Websites zu installieren. Die Kampagne wurde erstmals im September 2023 von der russischen Antiviren-Firma Doctor Web bekannt gegeben.
„Sobald diese Geräte installiert sind, verwandeln sie sich in operative Knotenpunkte innerhalb ihrer illegalen Streaming-Mediaplattform und bieten Dienste wie Traffic-Proxing, DDoS-Angriffe, OTT-Inhaltebereitstellung und Piratenverkehr an“, sagten die Forscher von QiAnXin.
„Das Potenzial von Bigpanzi-kontrollierten Fernsehern und STBs, gewalttätige, terroristische oder pornografische Inhalte auszustrahlen oder zunehmend überzeugende KI-generierte Videos für politische Propaganda zu verwenden, stellt eine erhebliche Bedrohung für soziale Ordnung und Stabilität dar.“