Les chasseurs de menaces ont identifié une nouvelle variante de malware Android appelée MoqHao qui s’exécute automatiquement sur les appareils infectés sans nécessiter aucune interaction de l’utilisateur.
« MoqHao typique nécessite que les utilisateurs installent et lancent l’application pour obtenir l’objectif souhaité, mais cette nouvelle variante ne nécessite aucune exécution », McAfee Labs dit dans un rapport publié cette semaine. « Lorsque l’application est installée, leur activité malveillante démarre automatiquement. »
Les cibles de la campagne incluent les utilisateurs d’Android situés en France, en Allemagne, en Inde, au Japon et en Corée du Sud.
MoqHao, également appelé Wroba et XLoader (à ne pas confondre avec les logiciels malveillants Windows et macOS du même nom), est une menace mobile basée sur Android associée à un cluster chinois à motivation financière baptisé Roaming Mantis (alias Shaoye).
Les chaînes d’attaque typiques commencent par des messages SMS sur le thème de la livraison de colis contenant des liens frauduleux qui, lorsqu’ils sont cliqués depuis des appareils Android, conduisent au déploiement du logiciel malveillant, mais redirigent les victimes vers des pages de collecte d’informations d’identification se faisant passer pour la page de connexion iCloud d’Apple lorsqu’elles sont visitées depuis un iPhone.
En juillet 2022, Sekoia a détaillé une campagne ayant compromis au moins 70 000 appareils Android en France. Au début de l’année dernière, des versions mises à jour de MoqHao ont été découvertes pour infiltrer les routeurs Wi-Fi et procéder au détournement du système de noms de domaine (DNS), révélant l’engagement de l’adversaire à innover dans son arsenal.
La dernière itération de MoqHao continue d’être distribuée via des techniques de smishing, mais ce qui a changé, c’est que la charge utile malveillante est exécutée automatiquement lors de l’installation et invite la victime à lui accorder des autorisations risquées sans lancer l’application, un comportement précédemment repéré avec de fausses applications contenant le Logiciel malveillant HiddenAds.
Ce qui a également fait peau neuve, c’est que les liens partagés dans les messages SMS eux-mêmes sont masqués à l’aide de raccourcisseurs d’URL pour augmenter les chances de succès de l’attaque. Le contenu de ces messages est extrait du champ bio (ou description) des profils Pinterest frauduleux créés à cet effet.
MoqHao est équipé de plusieurs fonctionnalités qui lui permettent de collecter furtivement des informations sensibles telles que les métadonnées de l’appareil, les contacts, les messages SMS et les photos, d’appeler des numéros spécifiques en mode silencieux et d’activer/désactiver le Wi-Fi, entre autres.
McAfee a déclaré avoir signalé les résultats à Google, qui « travaillerait déjà sur la mise en œuvre de mesures d’atténuation pour empêcher ce type d’exécution automatique dans une future version d’Android ».
Ce développement intervient alors que la société chinoise de cybersécurité QiAnXin révélé qu’un syndicat de cybercriminalité jusqu’alors inconnu nommé Bigpanzi a été lié à la compromission de téléviseurs intelligents et de décodeurs (STB) basés sur Android afin de les regrouper dans un botnet pour mener des attaques par déni de service distribué (DDoS).
L’opération, active depuis au moins 2015, devrait contrôler un botnet comprenant 170 000 robots actifs quotidiennement, dont la plupart sont situés au Brésil. Cependant, 1,3 million d’adresses IP brésiliennes distinctes ont été associées à Bigpanzi depuis août 2023.
Les infections sont rendues possibles en incitant les utilisateurs à installer des applications piégées pour diffuser des films et des émissions de télévision piratés via des sites Web peu précis. La campagne a été divulguée pour la première fois par le fournisseur d’antivirus russe Doctor Web en septembre 2023.
« Une fois installés, ces appareils se transforment en nœuds opérationnels au sein de leur plate-forme de streaming multimédia illicite, fournissant des services tels que le proxy de trafic, les attaques DDoS, la fourniture de contenu OTT et le trafic pirate », ont déclaré les chercheurs de QiAnXin.
« La possibilité pour les téléviseurs et les décodeurs contrôlés par Bigpanzi de diffuser des contenus violents, terroristes ou pornographiques, ou d’utiliser des vidéos de plus en plus convaincantes générées par l’IA à des fins de propagande politique, constitue une menace importante pour l’ordre social et la stabilité. »