Franse Android- en iPhone-gebruikers zijn het doelwit van een smishing-aanval geworden, waarbij de aanvallers proberen om malware te installeren en inloggegevens te stelen. Mogelijk zijn bij de campagne tienduizenden telefoons besmet geraakt. Dat stelt securitybedrijf Sekoia in een analyse. De aanval begint met een sms-bericht waarin wordt gesteld dat de ontvanger een pakket heeft ontvangen. Via de meegestuurde url is er meer informatie te vinden.

Deze url wijst naar een malafide website. Die controleert eerst of de gebruiker in kwestie vanaf een Frans ip-adres afkomstig is. Wanneer dit niet het geval is laat de website een 404-melding te zien. Bij een Franse iPhone-gebruiker toont de website een phishingpagina die van Apple lijkt en vraagt om met het Apple-account in te loggen. Gaat om het een Androidtelefoon in Frankrijk, dan wordt de gebruiker gevraagd een kwaadaardig APK-bestand te installeren dat claimt een browser-update te zijn.

In werkelijkheid gaat het om de MoqHao-malware, een remote access trojan gebruikt voor het stelen van informatie en het bieden van een backdoor. Zodra gebruikers de malafide app installeren vraagt die toestemming voor het lezen en versturen van sms-berichten, waardoor de aanvallers bijvoorbeeld sms-berichten kunnen onderscheppen. Daarbij doet de malafide applicatie zich voor als Google Chrome om zo de gebruiker te misleiden om de permissie te geven.

Verder communiceert de malware met een command & control-server. Begin dit jaar stelden securitybedrijven dat meer dan 90.000 unieke ip-adressen verbinding met deze server hadden gemaakt. Volgens Sekoia hebben de aanvallers een financieel motief en zouden bij de recente smsishing-campagne mogelijk 70.000 Androidtoestellen besmet zijn geraakt.