Redazione RHC : 13 Febbraio 2024 08:23
I ricercatori di sicurezza di McAfee hanno scoperto una nuova versione del malware Android MoqHao (noto anche come XLoader e Wroba). Il malware viene eseguito automaticamente sui dispositivi infetti senza richiedere alcuna interazione da parte dell’utente.
MoqHao è un malware Android controllato e creato da aggressori motivati finanziariamente del gruppo Roaming Mantis. In precedenza questo malware era stato riscontrato in attacchi contro utenti provenienti da USA, Gran Bretagna, Germania, Francia, Giappone, Corea del Sud e Taiwan.
In genere, gli hacker distribuiscono il proprio malware tramite messaggi SMS che fingono di contenere informazioni sulla consegna del pacco. Una URL abbreviata porta a un sito che fornisce alle vittime un file APK dannoso (o a una falsa pagina di accesso di Apple iCloud).
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
MoqHao è dotato di numerose funzionalità che gli consentono di raccogliere silenziosamente le informazioni sensibili delle vittime. Sono inclusi i metadati del dispositivo, elenco dei contatti, messaggi SMS e foto.
Per evitare il rilevamento, gli hacker utilizzano stringhe Unicode per mascherare APK dannosi come software legittimo, come il browser Chrome. Questo travestimento è necessario per indurre l’utente ad approvare autorizzazioni pericolose per l’app. E’ incluso l’invio e l’accesso ai contenuti SMS, e consentirne l’esecuzione sempre in background (aggiungendo eccezioni di ottimizzazione della batteria Android).
Il falso Chrome chiede inoltre all’utente di impostarsi come app SMS predefinita, sostenendo che ciò aiuterà a prevenire lo spam.
Secondo gli specialisti di McAfee, inoltre, le ultime versioni di MoqHao dimostrano la capacità di avviarsi automaticamente subito dopo l’installazione. Ciò consente al malware di funzionare segretamente in background e intercettare le informazioni riservate dell’utente.
“L’attività dannosa dell’applicazione inizia automaticamente non appena viene installata. Abbiamo già segnalato questa tecnica di attacco a Google e stanno già lavorando per implementare misure per impedire tale esecuzione automatica nelle future versioni di Android”, affermano i ricercatori.
Rileva inoltre che la nuova versione di XLoader estrae messaggi di phishing e URL mirati dai profili Pinterest. Questo consente agli hacker di eludere il rilevamento da parte di strumenti di sicurezza che monitorano fonti di traffico sospette. Inoltre, l’utilizzo di Pinterest consente di modificare rapidamente indirizzi e messaggi di phishing, senza dover rischiare di inviare un aggiornamento malware direttamente sul dispositivo.
Se Pinterest non può essere contattato, il malware procede utilizzando messaggi di phishing codificati che avvisano l’utente di problemi con il proprio conto bancario che richiedono un’azione immediata.
RedazioneI ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
La RHC Conference 2025, organizzata da Red Hot Cyber, ha rappresentato un punto di riferimento per la comunità italiana della cybersecurity, offrendo un ricco programma di talk, workshop e compet...
Nella giornata di ieri, Red Hot Cyber ha pubblicato un approfondimento su una grave vulnerabilità scoperta in SUDO (CVE-2025-32463), che consente l’escalation dei privilegi a root in ambie...
Il Dipartimento di Giustizia degli Stati Uniti ha annunciato la scoperta di un sistema su larga scala in cui falsi specialisti IT provenienti dalla RPDC i quali ottenevano lavoro presso aziende americ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
