Jnews.co.id – Pemburu ancaman telah mengidentifikasi varian baru malware Android bernama MoqHao yang secara otomatis dijalankan pada perangkat yang terinfeksi tanpa memerlukan interaksi pengguna apa pun.
“MoqHao yang khas mengharuskan pengguna untuk menginstal dan meluncurkan aplikasi untuk mendapatkan tujuan yang mereka inginkan, namun varian baru ini tidak memerlukan eksekusi,” kata McAfee Labs dalam laporan yang diterbitkan minggu ini. “Saat aplikasi dipasang, aktivitas berbahaya mereka dimulai secara otomatis.”
Target kampanye ini mencakup pengguna Android yang berlokasi di Perancis, Jerman, India, Jepang, dan Korea Selatan.
MoqHao, juga disebut Wroba dan XLoader (jangan bingung dengan malware Windows dan macOS dengan nama yang sama), adalah ancaman seluler berbasis Android yang dikaitkan dengan klaster bermotivasi finansial Tiongkok yang dijuluki Roaming Mantis (alias Shaoye).
Rantai serangan pada umumnya dimulai dengan pesan SMS bertema pengiriman paket yang berisi tautan palsu yang, ketika diklik dari perangkat Android, akan mengarah pada penyebaran malware namun mengarahkan korban ke halaman pengumpulan kredensial yang meniru halaman login iCloud Apple ketika dikunjungi dari iPhone.
Pada bulan Juli 2022, Sekoia merinci kampanye yang menyusupi setidaknya 70.000 perangkat Android di Prancis. Pada awal tahun lalu, versi terbaru MoqHao telah ditemukan menyusup ke router Wi-Fi dan melakukan pembajakan Sistem Nama Domain (DNS), yang mengungkapkan komitmen musuh untuk berinovasi dalam persenjataannya.
Iterasi terbaru MoqHao terus didistribusikan melalui teknik smishing, namun yang berubah adalah muatan berbahaya dijalankan secara otomatis saat instalasi dan meminta korban untuk memberikan izin berisiko tanpa meluncurkan aplikasi, sebuah perilaku yang sebelumnya terlihat pada aplikasi palsu yang berisi aplikasi tersebut. Malware Iklan Tersembunyi .
Apa yang juga mendapat perubahan adalah bahwa tautan yang dibagikan dalam pesan SMS itu sendiri disembunyikan menggunakan penyingkat URL untuk meningkatkan kemungkinan keberhasilan serangan. Konten pesan ini diambil dari kolom bio (atau deskripsi) dari profil Pinterest palsu yang dibuat untuk tujuan ini.
MoqHao dilengkapi dengan beberapa fitur yang memungkinkannya secara diam-diam mengumpulkan informasi sensitif seperti metadata perangkat, kontak, pesan SMS, dan foto, memanggil nomor tertentu dengan mode senyap, dan mengaktifkan/menonaktifkan Wi-Fi, dan masih banyak lagi.
McAfee mengatakan pihaknya telah melaporkan temuan tersebut ke Google, yang dikatakan “sudah berupaya menerapkan mitigasi untuk mencegah jenis eksekusi otomatis ini di versi Android mendatang.”
Perkembangan ini terjadi ketika perusahaan keamanan siber Tiongkok QiAnXin mengungkapkan bahwa sindikat kejahatan siber yang sebelumnya tidak dikenal bernama Bigpanzi telah dikaitkan dengan peretasan smart TV dan set-top box (STB) berbasis Android untuk menjebak mereka ke dalam botnet untuk melakukan penolakan terdistribusi. serangan layanan (DDoS).
Operasi tersebut, yang aktif setidaknya sejak tahun 2015, diperkirakan mengendalikan botnet yang terdiri dari 170.000 bot aktif setiap hari, yang sebagian besar berlokasi di Brasil. Namun, 1,3 juta alamat IP Brasil yang berbeda telah dikaitkan dengan Bigpanzi sejak Agustus 2023.
Infeksi ini dimungkinkan dengan menipu pengguna agar memasang aplikasi jebakan untuk streaming film dan acara TV bajakan melalui situs web yang tidak jelas. Kampanye tersebut pertama kali diungkapkan oleh vendor antivirus Rusia Doctor Web pada September 2023.
“Setelah dipasang, perangkat ini berubah menjadi simpul operasional dalam platform media streaming terlarang mereka, melayani layanan seperti proxy lalu lintas, serangan DDoS, penyediaan konten OTT, dan lalu lintas bajakan,” kata peneliti QiAnXin.
“Potensi TV dan STB yang dikendalikan Bigpanzi untuk menyiarkan konten kekerasan, teroris, atau pornografi, atau menggunakan video buatan AI yang semakin meyakinkan untuk propaganda politik, merupakan ancaman signifikan terhadap ketertiban dan stabilitas sosial.”
