La firma de ciberseguridad McAfee ha informado sobre una nueva variante de malware de Android llamada MoqHao, que se ejecuta automáticamente en los dispositivos infectados sin la interacción del usuario. A diferencia de la versión anterior, que requería que los usuarios instalaran y ejecutaran la aplicación para activar su actividad maliciosa, esta variante no necesita ejecución alguna. La amenaza está dirigida a usuarios de Android en Francia, Alemania, India, Japón y Corea del Sur. MoqHao es una amenaza móvil basada en Android y se asocia con un grupo chino llamado Roaming Mantis. El modus operandi típico del malware comienza con mensajes de SMS temáticos de entrega de paquetes que contienen enlaces fraudulentos que infectan dispositivos Android. En cambio, las víctimas son redirigidas a páginas de recopilación de credenciales que se hacen pasar por la página de inicio de sesión de iCloud de Apple en un iPhone. La implementación de esta variante de MoqHao es diferente, ya que el malware se ejecuta automáticamente después de su instalación, induciendo a la víctima a otorgar permisos arriesgados sin iniciar la aplicación.
A lo largo del último año, se han detectado varias versiones actualizadas de MoqHao que han infiltrado routers de Wi-Fi y realizado secuestros de DNS, indicando la innovación del grupo en su arsenal. McAfee ha informado de los hallazgos a Google, que ha prometido implementar medidas para evitar este tipo de autoejecución en una versión futura de Android. Como parte de nuevas técnicas, los enlaces compartidos en los mensajes de SMS se ocultan mediante acortadores de URL y el contenido de estos mensajes se extrae de perfiles fraudulentos de Pinterest con descripciones de bio.
Este descubrimiento se produce en un contexto en el que la firma china de ciberseguridad QiAnXin ha vinculado a Bigpanzi, un sindicato delictivo desconocido anteriormente, con la vulneración de televisiones inteligentes y descodificadores basados en Android para crear un botnet. Se estima que el botnet controla 170,000 bots activos diarios, la mayoría de ellos en Brasil. Las infecciones ocurrieron en aplicaciones trucadas de sitios web sospechosos para la transmisión de programas de televisión y películas pirateadas. La operación lleva activa desde al menos 2015 y ha asociado 1.3 millones de direcciones IP brasileñas distintas con Bigpanzi desde agosto de 2023.
Estas amenazas son un recordatorio para que los usuarios de Android sean cuidadosos en su comportamiento en línea y no pulsen enlaces sospechosos, incluso si parecen provenir de fuentes legítimas. Los expertos también recomiendan utilizar soluciones de seguridad móvil para identificar y bloquear las amenazas. La seguridad en línea es crucial para evitar la propagación de malware y proteger la información personal y financiera de los usuarios.
Vía The Hacker News
