Η καμπάνια phishing Roaming Mantis SMS εμφανίστηκε και στην Ευρώπη, καθώς οι ερευνητές εντοπίζουν καμπάνιες που στοχεύουν χρήστες Android και iPhone στη Γερμανία και τη Γαλλία με κακόβουλες εφαρμογές και σελίδες phishing.
Δείτε επίσης: Custom malware επέτρεψε σε hackers να μείνουν απαρατήρητοι μέσα σε δίκτυο για 250 ημέρες
Το Roaming Mantis είναι μια καμπάνια κλοπής credentials και διανομής malware που χρησιμοποιεί ηλεκτρονικό “ψάρεμα” μέσω SMS (smishing) για τη διανομή κακόβουλων εφαρμογών Android ως μεμονωμένα αρχεία APK εκτός του Google Play Store.
Τα τελευταία τέσσερα χρόνια, η καμπάνια ήταν υπό συνεχή εξέλιξη και εμφανίστηκε για πρώτη φορά το 2018, στοχεύοντας χρήστες Android smartphone στην Ιαπωνία μέσω DNS hacking.
Αργότερα εξελίχθηκε για να στοχεύει χρήστες iOS με σελίδες phishing για κλοπή credentials και να επεκτείνει τις στοχευμένες χώρες για να συμπεριλάβει την Ταϊβάν και την Κορέα.
Ψεύτικα shipping texts
Στην πιο πρόσφατη μορφή του, το Roaming Mantis χρησιμοποιεί ένα trojan με το όνομα «Wroba» και στοχεύει χρήστες στη Γαλλία και τη Γερμανία με smishing μηνύματα και landing pages που εισάγονται σε παραβιασμένα νόμιμα sites.
Ο στόχος του Wroba είναι να κλέψει στοιχεία e-banking και, όπως άλλα παρόμοια trojan, εξαπλώνεται αυτόματα με την χρήση SMS phishing texts σε άτομα στις επαφές της μολυσμένης συσκευής.
Η αλυσίδα μόλυνσης ξεκινά με την άφιξη ενός SMS text στη συσκευή που αποτελεί στόχο, το οποίο περιέχει ένα σύντομο προειδοποιητικό μήνυμα σχετικά με ένα αποσταλμένο πακέτο με μια συμπεριλαμβανόμενη διεύθυνση URL.
Εάν γίνει κλικ στη διεύθυνση URL από μια συσκευή Apple, το θύμα ανακατευθύνεται σε μια σελίδα phishing, όπου επιχειρεί να κλέψει τα Apple login credentials του χρήστη.
Ωστόσο, εάν το θύμα χρησιμοποιεί μια συσκευή Android, μεταφέρεται σε ένα landing page που το ζητά να εγκαταστήσει malware που έχει μεταμφιαστεί σε εφαρμογή Android.
Δείτε επίσης: Mars Stealer malware: Νέα παραλλαγή του κακόβουλου λογισμικού Oski
Οι προσωποποιημένες εφαρμογές που περιέχουν το Wroba είναι κυρίως για το Google Chrome, αλλά μιμούνται και τις εφαρμογές μεταφοράς Yamato και ePOST.
Ακολουθούν τα στατιστικά των λήψεων από μια μέρα τον Σεπτέμβριο του 2021, μετρώντας δεκάδες χιλιάδες κακόβουλες λήψεις APK στην Ευρώπη.
Τώρα κλέβει τις εικόνες και τα βίντεό σας
Σε σύγκριση με προηγούμενες παραλλαγές, το Wrogba loader και το payload έχουν εξελιχθεί και τώρα γράφονται σε Kotlin, μια γλώσσα με εξαιρετική διαλειτουργικότητα με την Java.
Το backdoor περιλαμβάνει 21 κακόβουλες εντολές που μπορούν να εκτελεστούν από τις επιθέσεις, ενώ δύο νέες προστέθηκαν σε πρόσφατες καμπάνιες. Αυτές οι νέες εντολές είναι “get_gallery” και “get_photo”, οι οποίες έχουν σκοπό να κλέψουν τις φωτογραφίες και τα βίντεο του θύματος και να τα ανεβάσουν στους servers του εισβολέα.
Η Kaspersky εξηγεί ότι οι απειλητικοί φορείς μπορούν να χρησιμοποιήσουν την προσθήκη αυτών των δύο νέων εντολών για οικονομική απάτη, κλοπή ταυτότητας, εκβιασμό και extortion εάν κλαπούν ευαίσθητα μέσα.
Τι πρέπει να κάνετε για να αποφύγετε το Mantis
Για να αποτρέψετε το Roaming Mantis ή άλλο Android malware από το να μολύνει τη συσκευή σας, θα πρέπει πάντα να αποφεύγετε τη λήψη APK από ασυνήθιστες πηγές και να μην επιτρέπετε ποτέ την εγκατάσταση πακέτων από άγνωστες πηγές.
Επιπλέον, τα SMS texts που περιέχουν διευθύνσεις URL πρέπει πάντα να αντιμετωπίζονται με προσοχή και καχυποψία, ακόμα κι αν προέρχονται από κάποιον που γνωρίζετε.
Δείτε επίσης: Microsoft: Το Mac malware UpdateAgent γίνεται όλο και πιο επικίνδυνο
Τέλος, ένα εργαλείο Android internet security από έναν αξιόπιστο προμηθευτή θα μπορούσε να βοηθήσει στην επισήμανση αυτών των URL κατά την επίσκεψή τους, καθώς οι αναλυτές παρακολουθούν ενεργά αυτές τις καμπάνιες.
Πηγή πληροφοριών: bleepingcomputer.com