Контакты
Подписка 2024
Защищенный Linux
23 мая. Инструменты миграции на защищенный Linux
Регистрируйтесь на онлайн-конференцию!

Группировка Roaming Mantis теперь пришла и во Францию

26/07/22

Триумфально пройдясь по Германии, Тайваню, Южной Корее, Японии, США и Великобритании, группировка Roaming Mantis атаковала мобильные устройства во Франции. Специалисты предполагают, что уже могли быть заражены десятки тысяч устройств.

По словам экспертов, пишут Securitylab, Roaming Mantis – группировка финансово мотивированных хакеров, которые начали атаковать европейцев в феврале 2022 года. В рамках последней вредоносной кампании злоумышленники используют SMS-рассылку, чтобы заманить пользователей Android на фишинговую страницу и заставить загрузить вредоносное ПО. Если жертва использует iOS , она перенаправляется на страницу, с помощью которой киберпреступники крадут учетные данные Apple ID.

Согласно отчету исследователей компании SEKOIA, группировка Roaming Mantis заставляет пользователей Android загружать на свои устройства полезную нагрузку XLoader – мощное вредоносное ПО, позволяющее хакерам получить удаленный доступ к устройству жертвы, красть ее информацию и рассылать от ее лица SMS-спам.

Текущая кампания Roaming Mantis направлена на французских пользователей и начинается с SMS-сообщения, отправленного потенциальным жертвам и призывающего их перейти по вложенному URL-адресу. В сообщении сообщается об отправленной жертвой посылке, которую нужно просмотреть и организовать ее доставку с помощью специального приложения. Если жертва загружает APK, оно запускается и имитирует установку Chrome, запрашивая рискованные разрешения, такие как чтение и отправка SMS, совершение телефонных звонков, чтение и запись данных в хранилище, получение списка учетных записей и многое другое. После этого C&C-конфигурация извлекается из профиля на площадке Imgur.

Если цель использует iOS, она попадает на фишинговую страницу, которая похищает Apple ID жертвы.

pasted image 0 (19)

Для пользователей за пределами Франции серверы Roaming Mantis выдают ошибку 404, и атака прекращается.

SEKOIA подтвердила, что на данный момент более 90 000 жертв загрузили XLoader с главного C&C-сервера злоумышленников. Количество пользователей iOS, которые передали свои учетные данные Apple ID хакерам, неизвестно и может быть таким же или даже больше.

Темы:ЕвропаПреступленияфишингSEKOIA
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...