I cacciatori di minacce hanno identificato una nuova variante di malware Android chiamata MoqHao. Si esegue in automatico sui dispositivi infetti senza richiedere alcuna interazione da parte dell’utente.

Gli obiettivi principali della campagna sono gli utenti Android di Francia, Germania, India, Giappone e Corea del Sud. Ma i dati sulla diffusione del malware sono in continuo aumento e la minaccia diventa, dunque, molto seria per tutti.

“La nuova versione di MoqHao rappresenta una minaccia per dispositivi Android molto avanzata”, commenta Riccardo Michetti, Threat Intelligence Analyst di Swascan: “L’utilizzo di tecniche di Social Engineering e Obfuscation per infettare i dispositivi, mascherandosi da applicazione legittima, garantisce una facile distribuzione del malware”.

Ecco come proteggersi.

Il malware Android MoqHao

MoqHao, chiamato anche Wroba e XLoader (da non confondere con l’omonimo malware per Windows e macOS), è una minaccia mobile basata su Android e associata a un cluster cinese a scopo finanziario, noto come Roaming Mantis (alias Shaoye).

MoqHao dispone di diverse funzionalità che gli consentono di rubare informazioni sensibili come i metadati del dispositivo, i contatti, i messaggi SMS e le foto, di chiamare numeri specifici con la modalità silenziosa e di attivare/disattivare il Wi-Fi, tra le altre cose.

“Il tipico MoqHao richiede agli utenti di installare e lanciare l’app per ottenere lo scopo desiderato, ma questa nuova variante non richiede alcuna esecuzione”, ha spiegato McAfee Labs in un rapporto pubblicato questa settimana. “Mentre l’app è installata, la loro attività dannosa inizia automaticamente”.

“L’uso dello smartphone è sempre più centrale nella vita delle persone”, aggiunge Vincenzo Sgaramella, Cyber Security Project Manager di Swascan: “Pagamenti, identità digitale e accessi fisici sono solo alcuni degli ambiti sensibili che potrebbero essere minacciati da una compromissione informatica”.

Le catene di attacco

Le catene di attacco tipiche iniziano con messaggi SMS a tema consegna pacchi contenenti link fraudolenti che, se cliccati da dispositivi Android, portano alla distribuzione del malware. Ma reindirizzano le vittime a pagine di raccolta delle credenziali che impersonano la pagina di accesso ad iCloud di Apple se visitate da un iPhone.

Nel luglio 2022, Sekoia ha descritto una campagna che ha compromesso almeno 70 mila dispositivi Android in Francia. All’inizio dello scorso anno, sono state scoperte versioni aggiornate di MoqHao in grado di infiltrarsi nei router Wi-Fi e di effettuare l’hijacking del Domain Name System (DNS), rivelando l’impegno dell’avversario a innovare il proprio arsenale.

L’ultima iterazione di MoqHao continua a essere distribuita tramite tecniche di smishing. Tuttavia esegue automaticamente il payload dannoso al momento dell’installazione, chiedendo alla vittima di concedergli permessi rischiosi senza avviare l’app. Comportamento in precedenza già avvenuto con le app fasulle contenenti il malware HiddenAds.

Inoltre, i link condivisi nei messaggi SMS sono nascosti attraverso servizi per accorciare URL per aumentare le probabilità di successo dell’attacco. A questo scopo estrae il contenuto di questi messaggi dal campo bio (o descrizione) dei profili Pinterest fraudolenti creati ad hoc.

Il casi Bigpanzi

La società cinese di cybersicurezza QiAnXin ha rivelato che un’organizzazione criminale informatica precedentemente sconosciuta, denominata Bigpanzi, è stata collegata alla compromissione di smart TV e set-top box (STB) basati su Android al fine di riunirli in una botnet per condurre attacchi DDoS (Distributed Denial-of-Service).

Si stima che l’operazione, attiva almeno dal 2015, controlli una rete di bot che comprende 170.000 bot attivi quotidianamente, la maggior parte dei quali si trova in Brasile. Tuttavia, 1,3 milioni di indirizzi IP brasiliani distinti sono stati associati a Bigpanzi dall’agosto 2023.

Le infezioni sono rese possibili dall’inganno degli utenti che installano applicazioni con trappole esplosive per lo streaming di film e spettacoli televisivi piratati attraverso siti web poco chiari. Il fornitore russo di antivirus Doctor Web ha rivelato la campagna, per la prima volta nel settembre 2023.

“Una volta installati, questi dispositivi si trasformano in nodi operativi all’interno della loro piattaforma di streaming media illecita, che si occupa di servizi come il proxing del traffico, gli attacchi DDoS, la fornitura di contenuti OTT e il traffico pirata”, hanno dichiarato i ricercatori di QiAnXin.

“La possibilità che i televisori e gli STB controllati da Bigpanzi trasmettano contenuti violenti, terroristici o pornografici, o che utilizzino video sempre più convincenti generati dall’intelligenza artificiale per la propaganda politica, rappresenta una minaccia significativa per l’ordine e la stabilità sociale”.

Come proteggersi dal malware Android MoqHao

Per mitigare il rischio serve una postura di sicurezza basata sulla consapevolezza.

“La sua capacità di raccogliere dati sensibili, inclusi contatti, messaggi e foto, sottolinea l’importanza di adottare misure di sicurezza robuste e di mantenere una consapevolezza critica riguardo alle autorizzazioni concesse alle app”, mette in guardia Riccardo Michetti: “Inoltre, la strategia di distribuzione tramite SMS e l’utilizzo di piattaforme popolari come Pinterest per attività di phishing evidenziano l’adattabilità e la persistenza di questa minaccia nel panorama delle minacce cyber”.

Altro consiglio sempre attuale per proteggersi, è l’aggiornamento continuo del sistema operativo, app e software.

“L’utilizzo sicuro del dispositivo mobile e la costante manutenzione ed aggiornamento possono mitigare il rischio”, conclude Vincenzo Sgaramella: “Inoltre il veicolo per diffondere la vulnerabilità pone l’accento sulle capacità dell’utente di difendersi da attacchi di social engineering (c.d. smishing)”.

McAfee ha dichiarato di aver segnalato i risultati a Google, che starebbe “già lavorando all’implementazione di mitigazioni per impedire questo tipo di esecuzione automatica in una futura versione di Android”.

@RIPRODUZIONE RISERVATA