Μετά από πολλαπλές επιθέσεις στη Γερμανία, την Ταϊβάν, τη Νότια Κορέα, την Ιαπωνία, τις ΗΠΑ και το Ηνωμένο Βασίλειο, η malware καμπάνια Roaming Mantis άρχισε να στοχεύει χρήστες Android και iOS στη Γαλλία.
Πίσω από την εκστρατεία Roaming Mantis πιστεύεται ότι βρίσκεται ένας παράγοντας απειλής με οικονομικά κίνητρα που άρχισε να στοχεύει Ευρωπαίους χρήστες τον Φεβρουάριο. Ο παράγοντας απειλής συνδέεται πιθανότατα με την Κίνα.
Πιο πρόσφατα, οι επιτιθέμενοι άρχισαν να στοχεύουν χρήστες Android και iOS στέλνοντας κακόβουλα μηνύματα SMS. Στόχος των επιτιθέμενων είναι να κάνουν τους χρήστες Android να κατεβάσουν κακόβουλο λογισμικό στις συσκευές τους. Εάν το πιθανό θύμα χρησιμοποιεί iOS, ανακατευθύνεται σε μια phishing σελίδα που κλέβει credentials.
Δείτε επίσης: FBI: Απατεώνες εξαπατούν επενδυτές με ψεύτικες εφαρμογές crypto
Roaming Mantis: Εγκατάσταση του XLoader malware
Σε μια πρόσφατη έκθεση, ερευνητές της εταιρείας κυβερνοασφάλειας SEKOIA αναφέρουν ότι η εκστρατεία Roaming Mantis διανέμει στις συσκευές Android το XLoader (MoqHao) payload, ένα ισχυρό malware που διαθέτει λειτουργίες, όπως απομακρυσμένη πρόσβαση, κλοπή πληροφοριών και αποστολή ανεπιθύμητων μηνυμάτων SMS.
Η τρέχουσα καμπάνια Roaming Mantis στοχεύει Γάλλους χρήστες και ξεκινά με ένα SMS που αποστέλλεται σε υποψήφια θύματα, προτρέποντάς τους να ακολουθήσουν μια διεύθυνση URL. Το γραπτό μήνυμα ενημερώνει για ένα πακέτο που τους έχει αποσταλεί και το οποίο πρέπει να εξετάσουν για να κανονίσουν την παράδοσή του.
Εάν ο χρήστης βρίσκεται στη Γαλλία και χρησιμοποιεί συσκευή iOS, κατευθύνεται σε μια σελίδα phishing που κλέβει τα credentials της Apple. Από την άλλη μεριά, οι χρήστες Android οδηγούνται σε έναν ιστότοπο που παραδίδει το αρχείο εγκατάστασης για μια εφαρμογή για κινητά, (ένα Android Package Kit – APK).
Δείτε επίσης: Ρωσία: Πρόστιμο στη Google λόγω απαγορευμένου περιεχομένου
Αυτή η πρόσφατη καμπάνια, περιορίζεται στη Γαλλία. Για χρήστες εκτός της χώρας, οι διακομιστές του Roaming Mantis εμφανίζουν ένα σφάλμα 404 και η επίθεση σταματά.
Το APK στις Android συσκευές εκτελεί και μιμείται μια εγκατάσταση του Chrome, ζητώντας επικίνδυνα δικαιώματα, όπως πρόσβαση σε SMS, πραγματοποίηση τηλεφωνικών κλήσεων, διαχείριση ειδοποιήσεων συστήματος, λήψη λίστας λογαριασμών και πολλά άλλα.
Οι αναλυτές της SEKOIA επιβεβαίωσαν ότι πάνω από 90.000 μοναδικές διευθύνσεις IP έχουν κάνει request το XLoader από τον κύριο διακομιστή C2 μέχρι στιγμής, επομένως τα θύματα μπορεί να είναι πολλά.
Ο αριθμός των χρηστών iOS που έχουν παραδώσει τα credentials iCloud τους στη phishing σελίδα του Roaming Mantis είναι άγνωστος.
Δείτε επίσης: Hackers στοχεύουν δημοσιογράφους και οργανισμούς μέσων ενημέρωσης
Roaming Mantis: Λεπτομέρειες υποδομής
Οι αναλυτές της SEKOIA αναφέρουν ότι η υποδομή του Roaming Mantis δεν έχει αλλάξει πολύ από την τελευταία ανάλυσή του από την ομάδα Cymru τον περασμένο Απρίλιο.
Οι διακομιστές εξακολουθούν να έχουν ανοιχτές θύρες στα TCP/443, TCP/5985, TCP/10081 και TCP/47001, ενώ τα ίδια πιστοποιητικά που εμφανίστηκαν τον Απρίλιο εξακολουθούν να χρησιμοποιούνται.
“Τα domains που χρησιμοποιούνται στα μηνύματα SMS είναι registered είτε στο Godaddy είτε χρησιμοποιούν dynamic DNS services όπως το duckdns.org“, εξηγεί η SEKOIA.
Είναι ενδιαφέρον ότι η επιχείρηση smishing (SMS phishing) βασίζεται σε ξεχωριστούς διακομιστές C2 από αυτούς που χρησιμοποιούνται από το XLoader και οι αναλυτές μπόρεσαν να εντοπίσουν εννέα από αυτούς που φιλοξενούνται στα EHOSTIDC και VELIANET Autonomous Systems.
Πηγή: www.bleepingcomputer.com