Вредоносное ПО Roaming Mantis позволяет злоумышленникам взять устройство жертвы под контроль и украсть информацию.
Триумфально пройдясь по Германии, Тайваню, Южной Корее, Японии, США и Великобритании, группировка Roaming Mantis атаковала мобильные устройства во Франции. Специалисты предполагают, что уже могли быть заражены десятки тысяч устройств.
По словам экспертов, Roaming Mantis – группировка финансово мотивированных хакеров, которые начали атаковать европейцев в феврале 2022 года. В рамках последней вредоносной кампании злоумышленники используют SMS-рассылку, чтобы заманить пользователей Android на фишинговую страницу и заставить загрузить вредоносное ПО. Если жертва использует iOS , она перенаправляется на страницу, с помощью которой киберпреступники крадут учетные данные Apple ID.
Согласно отчету исследователей компании SEKOIA, группировка Roaming Mantis заставляет пользователей Android загружать на свои устройства полезную нагрузку XLoader – мощное вредоносное ПО, позволяющее хакерам получить удаленный доступ к устройству жертвы, красть ее информацию и рассылать от ее лица SMS-спам.
Текущая кампания Roaming Mantis направлена на французских пользователей и начинается с SMS-сообщения, отправленного потенциальным жертвам и призывающего их перейти по вложенному URL-адресу. В сообщении сообщается об отправленной жертвой посылке, которую нужно просмотреть и организовать ее доставку с помощью специального приложения. Если жертва загружает APK, оно запускается и имитирует установку Chrome, запрашивая рискованные разрешения, такие как чтение и отправка SMS, совершение телефонных звонков, чтение и запись данных в хранилище, получение списка учетных записей и многое другое. После этого C&C-конфигурация извлекается из профиля на площадке Imgur.
Если цель использует iOS, она попадает на фишинговую страницу, которая похищает Apple ID жертвы.
Цепочка атак Roaming Mantis
Для пользователей за пределами Франции серверы Roaming Mantis выдают ошибку 404, и атака прекращается.
SEKOIA подтвердила, что на данный момент более 90 000 жертв загрузили XLoader с главного C&C-сервера злоумышленников. Количество пользователей iOS, которые передали свои учетные данные Apple ID хакерам, неизвестно и может быть таким же или даже больше.
Ладно, не доказали. Но мы работаем над этим