Roaming Mantis, вредоносное ПО для Android (откроется в новой вкладке) Исследователи кибербезопасности говорят, что операция, направленная на кражу конфиденциальных данных и, возможно, даже денег у своих жертв, теперь нацелена на народ Франции.
Прежде чем нацелиться на французов, Roaming Mantis атаковал людей в Германии, Тайване, Южной Корее, Японии, США и Великобритании. BleepingКомпьютер отчеты.
Это не то же самое, что ботнет Mantis, который недавно стал одним из самых крупных и мощных ботнетов из когда-либо существовавших.
Десятки тысяч жертв
Миграция операции была замечена исследователями кибербезопасности из SEKOIA. Проанализировав кампанию, исследователи обнаружили, что методология не сильно изменилась: жертвы сначала получали SMS, и в зависимости от того, являются ли они пользователями iOS или Android, они перенаправлялись на разные сайты.
Пользователи Apple будут перенаправлены на фишинговую страницу, где злоумышленники попытаются обманом заставить их выдать свои учетные данные, а пользователям Android будет предложено загрузить XLoader (MoqHao), мощную вредоносную программу, которая позволяет злоумышленникам удаленно получить доступ к скомпрометированной конечной точке, доступ к конфиденциальным данным, а также к SMS-приложениям (возможно, для дальнейшего расширения операции).
Исследователи полагают, что Roaming Mantis бродил по Франции в феврале 2022 года. Пользователи за пределами страны, получающие SMS, находятся в безопасности, так как серверы покажут ошибку 404 и остановят атаку.
Судя по всему, кампания прошла успешно, так как исследователи обнаружили, что XLoader с главного сервера управления и контроля уже загружены с более чем 90 000 уникальных IP-адресов. С учетом пользователей iOS число растет еще больше, но, к сожалению, его невозможно определить.
Roaming Mantis также неплохо умеет оставаться в тени и уклоняться от антивирусных решений. Было сказано, что он получает конфигурацию C2 из жестко заданных мест назначения профиля Imgur, дополнительно закодированных в base64.
Помимо этого, инфраструктура кампании в основном такая же, как и в апреле, когда она в последний раз анализировалась. Серверы по-прежнему имеют открытые порты TCP/443, TCP/5985, TCP/10081 и TCP/47001 и используют те же сертификаты.
«Домены, используемые в SMS-сообщениях, либо зарегистрированы в Godaddy, либо используют службы динамического DNS, такие как duckdns.org», — сказали в SEKOIA.