Остерегайтесь фишинговой кампании вредоносного ПО Roaming Mantis, атакующей пользователей Android и iOS

Кампания по вредоносному ПО Roaming Mantis Новости Android и iOS
Хотя вредоносное ПО и фишинг — это два разных вида кибератак, злоумышленники иногда используют оба метода в своих вредоносных кампаниях. Злоумышленник, известный как Roaming Mantis, похоже, делает именно это в новой кампании, задокументированной исследователями из фирмы по кибербезопасности SEKOIA. Roaming Mantis ранее нацеливался на пользователей в Японии, Южной Корее, Тайване, Германии, Франции, Великобритании и США, распространяя вредоносное ПО MoqHao для Android, также известное как XLoader. По оценкам исследователей, эта новая кампания скомпрометировала около 70 000 устройств Android, принадлежащих французским пользователям.

Похоже на шпионскую кампанию недавно нацеленная на итальянских пользователей, цепочка убийств кампании начинается с SMS-сообщения, отправленного на телефонные номера, начинающиеся с кода страны Франции +33. Текстовое сообщение сообщает получателям, что отправлен пакет, требующий проверки. Сообщение содержит вредоносную ссылку, которая направляет пользователей в разные места назначения в зависимости от определенных условий. Если IP-адрес пользователя соответствует местоположению за пределами Франции, пользователю отправляется ошибка 404, что приводит к преждевременному прекращению атаки.

roaming mantis кампания по фишинговой странице android ios фишинговые новости
Фишинговая страница Apple ID (источник: SEKOIA )

Однако если у пользователя французский IP-адрес, вредоносный сервер обнаруживает операционную систему мобильного устройства. В случае устройства Apple под управлением iOS сервер отправляет жертву на фишинговую страницу, которая имитирует страницу входа в систему Apple ID на французском языке. Любые учетные данные пользователя Apple ID, введенные на этой странице, получаются злоумышленником Roaming Mantis для последующего использования.

Если телефон жертвы работает под управлением Android, сервер перенаправляет жертву на страницу, которая отображает предупреждение и пытается загрузить APK-файл. Если жертва запускает файл APK и отключает средства защиты Android, защищающие от установки приложений из неизвестных источников, она устанавливает вредоносное приложение, имитирующее браузер Chrome, и просит жертв предоставить ему расширенные разрешения. Вредоносное ПО XLoader, содержащееся в приложении, подключается к законному сервису хостинга изображений Imgur для получения конфигурации управления и контроля (C2) из ​​профиля пользователя. Затем вредоносное ПО крадет информацию с зараженного устройства и загружает ее на сервер C2.

Между фишинговой атакой, нацеленной на пользователей iOS, и атакой вредоносного ПО, нацеленной на пользователей Android, Roaming Mantis может получить доступ к большому количеству личных данных, а также удаленно взаимодействовать с устройствами жертв. Эти конфиденциальные данные и удаленный доступ впоследствии могут быть использованы для вымогательства у жертв или связанных с ними предприятий и учреждений.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал