Nueva variante del malware MoqHao que se ejecuta automáticamente en dispositivos Android infectados sin necesidad de interacción del usuario y utiliza técnicas de smishing para distribuirse.

Una de las características de MoqHao es su capacidad de ejecutarse sin ninguna interacción por parte del usuario tras ser instalado. Esto representa un grave riesgo, ya que los afectados pueden no darse cuenta de que su dispositivo ha sido comprometido. Esta última variante de MoqHao, identificada por investigadores de ciberseguridad, utiliza técnicas de smishing para distribuirse, ejecutando su carga maliciosa automáticamente al instalarse y solicitando permisos sin requerir que el usuario inicie la aplicación. Se propaga a través de enlaces fraudulentos en mensajes SMS de phishing temáticos de entrega de paquetes. Estos enlaces provocan la descarga e instalación automática de la aplicación maliciosa en dispositivos Android y redirigen a los usuarios a páginas de recolección de credenciales que simulan la página de inicio de sesión de iCloud de Apple cuando se visita desde un iPhone.

MoqHao, también llamado Wroba y XLoader (sin confundirlo con el malware del mismo nombre para Windows y macOS), es una amenaza móvil basada en Android que se asocia a un grupo chino con motivación financiera llamado Roaming Mantis (también conocido como Shaoye). En julio de 2022, Sekoia detalló una campaña que comprometió al menos 70.000 dispositivos Android en Francia. Desde principios del año pasado, se han encontrado versiones actualizadas de MoqHao que infiltran routers WiFi y realizan secuestro de DNS.

Lo que también recibió un lavado de cara es que los enlaces compartidos en los mensajes SMS se ocultan mediante acortadores de URL para aumentar la probabilidad de éxito del ataque. El contenido de estos mensajes se extrae del campo de biografía (o descripción) de perfiles fraudulentos de Pinterest creados para este fin.

MoqHao tiene varias funciones que le permiten cosechar información sensible como metadatos del dispositivo, contactos, mensajes SMS y fotos, llamar a números específicos en modo silencioso y activar/desactivar el WiFi, entre otras. McAfee informó que ha notificado los hallazgos a Google, que «ya está trabajando en la implementación de mitigaciones para evitar este tipo de autoejecución en futuras versiones de Android».

«El MoqHao típico requiere que los usuarios instalen y ejecuten la aplicación para lograr su propósito deseado, pero esta nueva variante no requiere ejecución». «Mientras la aplicación esté instalada, su actividad maliciosa comienza automáticamente», McAfee Labs

Principales actividades de MoqHao

• Robo de Información, capacidad para sustraer datos personales y financieros, incluyendo contraseñas y detalles de cuentas bancarias.
• Publicidad engañosa, despliegue de anuncios fraudulentos en el dispositivo infectado.
• Suscripciones no autorizadas, inscripción automática del usuario en servicios premium sin su consentimiento.
• Control del dispositivo: posibilidad de tomar el control total sobre el dispositivo afectado.
  

Medidas de prevención contra MoqHao

• Evitar hacer clic en enlaces provenientes de SMS de fuentes no verificadas.
• Descargar aplicaciones exclusivamente desde la Google Play Store o tiendas de confianza.
• Mantener el dispositivo actualizado con las últimas versiones de seguridad.
• Utilizar software antivirus de renombre para realizar análisis periódicos en busca de malware.

Más información:

• https://x.com/koodous_project/status/1757332236578287944
• https://koodous.com/apks/b044804cf731cd7dd79000b7c6abce7b642402b275c1eb25712607fc1e5e3d2b/general-information
• https://gbhackers.com/new-android-moqhao-malware/
• https://thehackernews.com/2024/02/new-variant-of-moqhao-android-malware.html