26/07/22
Триумфально пройдясь по Германии, Тайваню, Южной Корее, Японии, США и Великобритании, группировка Roaming Mantis атаковала мобильные устройства во Франции. Специалисты предполагают, что уже могли быть заражены десятки тысяч устройств.
По словам экспертов, пишут Securitylab, Roaming Mantis – группировка финансово мотивированных хакеров, которые начали атаковать европейцев в феврале 2022 года. В рамках последней вредоносной кампании злоумышленники используют SMS-рассылку, чтобы заманить пользователей Android на фишинговую страницу и заставить загрузить вредоносное ПО. Если жертва использует iOS , она перенаправляется на страницу, с помощью которой киберпреступники крадут учетные данные Apple ID.
Согласно отчету исследователей компании SEKOIA, группировка Roaming Mantis заставляет пользователей Android загружать на свои устройства полезную нагрузку XLoader – мощное вредоносное ПО, позволяющее хакерам получить удаленный доступ к устройству жертвы, красть ее информацию и рассылать от ее лица SMS-спам.
Текущая кампания Roaming Mantis направлена на французских пользователей и начинается с SMS-сообщения, отправленного потенциальным жертвам и призывающего их перейти по вложенному URL-адресу. В сообщении сообщается об отправленной жертвой посылке, которую нужно просмотреть и организовать ее доставку с помощью специального приложения. Если жертва загружает APK, оно запускается и имитирует установку Chrome, запрашивая рискованные разрешения, такие как чтение и отправка SMS, совершение телефонных звонков, чтение и запись данных в хранилище, получение списка учетных записей и многое другое. После этого C&C-конфигурация извлекается из профиля на площадке Imgur.
Если цель использует iOS, она попадает на фишинговую страницу, которая похищает Apple ID жертвы.
.png?width=642&name=pasted%20image%200%20(19).png)
Для пользователей за пределами Франции серверы Roaming Mantis выдают ошибку 404, и атака прекращается.
SEKOIA подтвердила, что на данный момент более 90 000 жертв загрузили XLoader с главного C&C-сервера злоумышленников. Количество пользователей iOS, которые передали свои учетные данные Apple ID хакерам, неизвестно и может быть таким же или даже больше.
