Em andamento, uma campanha Roaming Mantis atinge usuários de Android e iOS em ataques de malware e phishing.
Depois de atingir a Alemanha, Taiwan, Coreia do Sul, Japão, EUA e Reino Unido, a operação Roaming Mantis passou a ter como alvo usuários de Android e iOS na França, provavelmente comprometendo dezenas de milhares de dispositivos.
Roaming Mantis atinge usuários de Android e iOS
Acredita-se que o Roaming Mantis seja um agente de ameaças com motivação financeira que começou a visar usuários europeus em fevereiro.
Em uma campanha observada recentemente, o agente da ameaça usa comunicação por SMS para atrair usuários para baixar malware em seus dispositivos Android.
Se a vítima em potencial usar o iOS, ela será redirecionada para uma página de phishing para obter credenciais da Apple.
Em um relatório publicado hoje, pesquisadores da empresa de segurança cibernética SEKOIA dizem que o grupo Roaming Mantis agora está lançando em dispositivos Android a carga útil XLoader (MoqHao), um poderoso malware que conta recursos como acesso remoto, roubo de informações e spam de SMS.
A campanha Roaming Mantis em andamento tem como alvo os usuários franceses e começa com um SMS enviado às possíveis vítimas, pedindo que sigam um URL.
A mensagem de texto informa sobre um pacote que foi enviado a eles e que eles precisam revisar e providenciar sua entrega.
Se o usuário estiver localizado na França e estiver usando um dispositivo iOS, ele será direcionado para uma página de phishing que rouba credenciais da Apple.
Os usuários do Android são direcionados para um site que entrega o arquivo de instalação de um aplicativo móvel (um Android Package Kit – APK).
Para usuários fora da França, os servidores do Roaming Mantis mostram um erro 404 e o ataque é interrompido.
O APK executa e imita uma instalação do Chrome, solicitando permissões arriscadas, como interceptação de SMS, fazer chamadas telefônicas, ler e gravar armazenamento, lidar com alertas do sistema, obter lista de contas e muito mais.
A configuração de comando e controle (C2) é recuperada de destinos de perfil Imgur codificados que são codificados em base64 para evitar a detecção.
A SEKOIA confirmou que mais de 90.000 endereços IP exclusivos solicitaram o XLoader do servidor C2 principal até agora, portanto, o pool de vítimas pode ser significativo.
O número de usuários do iOS que entregaram suas credenciais do Apple iCloud na página de phishing do Roaming Mantis é desconhecido e pode ser o mesmo ou até maior.
Detalhes da infraestrutura
Os analistas da SEKOIA relatam que a infraestrutura do Roaming Mantis não mudou muito desde sua última análise da equipe Cymru em abril passado.
Os servidores ainda têm portas abertas em TCP/443, TCP/5985, TCP/10081 e TCP/47001, enquanto os mesmos certificados vistos em abril ainda estão em uso.
“Domínios usados dentro de mensagens SMS são registrados com Godaddy ou usam serviços DNS dinâmicos, como duckdns.org.”, explica SEKOIA no relatório.
O conjunto de intrusão usa mais de cem subdomínios e dezenas de FQDN resolvem cada endereço IP.
Curiosamente, a operação de smishing (phishing SMS) depende de servidores C2 separados daqueles usados pelo XLoader, e os analistas puderam identificar nove deles hospedados nos sistemas autônomos EHOSTIDC e VELIANET.
Para obter uma lista completa de indicadores de comprometimento da operação atual do Roaming Mantis, confira esta página do GitHub.
