Семейство вредоносных программ MoqHao для Android, которое связано с угрозой Roaming Mantis, распространяет новые варианты с использованием опасной техники. Ранее MoqHao требовал от пользователей установить и запустить приложение, но теперь новый вариант запускается автоматически после установки без участия пользователя.
Эта автоматическая активация основана на функции Android, которая проверяет уникальность значения приложения при установке. MoqHao также использует сервисы сокращения URL для скрытия своего домена и обмана пользователей. Используя методы социальной инженерии, MoqHao пытается установить вредоносные приложения в качестве приложения SMS по умолчанию. Приложение также создает канал уведомлений для отображения фишинговых сообщений и отправляет фишинговые сообщения через операторов связи. Кроме того, MoqHao подключается к серверу C2 через WebSocket и выполняет команды, включая отправку и получение SMS-сообщений. Данный вариант MoqHao также нацелен на различные страны, включая Японию, Южную Корею, Францию, Германию и Индию. Google Play Protect предоставляет защиту от этой угрозы.
Indicators of Compromise
SHA256
- 2576a166d3b18eafc2e35a7de3e5549419d10ce62e0eeb24bad5a1daaa257528
- 61b4cca67762a4cf31209056ea17b6fb212e175ca330015d804122ee6481688e
- b044804cf731cd7dd79000b7c6abce7b642402b275c1eb25712607fc1e5e3d2b
- bf102125a6fca5e96aed855b45bbed9aa0bc964198ce207f2e63a71487ad793a
- e72f46f15e50ce7cee5c4c0c5a5277e8be4bb3dd23d08ea79e1deacb8f004136
- f6323f8d8cfa4b5053c65f8c1862a8e6844b35b260f61735b3cf8d19990fef42