Roaming Mantis atinge usuários de Android e iOS

Em andamento, uma campanha Roaming Mantis atinge usuários de Android e iOS em ataques de malware e phishing.

Depois de atingir a Alemanha, Taiwan, Coreia do Sul, Japão, EUA e Reino Unido, a operação Roaming Mantis passou a ter como alvo usuários de Android e iOS na França, provavelmente comprometendo dezenas de milhares de dispositivos.

Roaming Mantis atinge usuários de Android e iOS

Roaming Mantis atinge usuários de Android e iOS

Acredita-se que o Roaming Mantis seja um agente de ameaças com motivação financeira que começou a visar usuários europeus em fevereiro.

Em uma campanha observada recentemente, o agente da ameaça usa comunicação por SMS para atrair usuários para baixar malware em seus dispositivos Android.

Se a vítima em potencial usar o iOS, ela será redirecionada para uma página de phishing para obter credenciais da Apple.

Em um relatório publicado hoje, pesquisadores da empresa de segurança cibernética SEKOIA dizem que o grupo Roaming Mantis agora está lançando em dispositivos Android a carga útil XLoader (MoqHao), um poderoso malware que conta recursos como acesso remoto, roubo de informações e spam de SMS.

A campanha Roaming Mantis em andamento tem como alvo os usuários franceses e começa com um SMS enviado às possíveis vítimas, pedindo que sigam um URL.

A mensagem de texto informa sobre um pacote que foi enviado a eles e que eles precisam revisar e providenciar sua entrega.

Se o usuário estiver localizado na França e estiver usando um dispositivo iOS, ele será direcionado para uma página de phishing que rouba credenciais da Apple.

Os usuários do Android são direcionados para um site que entrega o arquivo de instalação de um aplicativo móvel (um Android Package Kit – APK).

Para usuários fora da França, os servidores do Roaming Mantis mostram um erro 404 e o ataque é interrompido.

Roaming Mantis atinge usuários de Android e iOS – Cadeia de ataque Roaming Mantis (SEKOIA)

O APK executa e imita uma instalação do Chrome, solicitando permissões arriscadas, como interceptação de SMS, fazer chamadas telefônicas, ler e gravar armazenamento, lidar com alertas do sistema, obter lista de contas e muito mais.

A configuração de comando e controle (C2) é recuperada de destinos de perfil Imgur codificados que são codificados em base64 para evitar a detecção.

Roaming Mantis atinge usuários de Android e iOS – Descriptografando a string para derivar o endereço IP final (SEKOIA)

A SEKOIA confirmou que mais de 90.000 endereços IP exclusivos solicitaram o XLoader do servidor C2 principal até agora, portanto, o pool de vítimas pode ser significativo.

O número de usuários do iOS que entregaram suas credenciais do Apple iCloud na página de phishing do Roaming Mantis é desconhecido e pode ser o mesmo ou até maior.

Roaming Mantis atinge usuários de Android e iOS – A página de phishing do ID Apple (SEKOIA)

Detalhes da infraestrutura
Os analistas da SEKOIA relatam que a infraestrutura do Roaming Mantis não mudou muito desde sua última análise da equipe Cymru em abril passado.

Os servidores ainda têm portas abertas em TCP/443, TCP/5985, TCP/10081 e TCP/47001, enquanto os mesmos certificados vistos em abril ainda estão em uso.

“Domínios usados ​​dentro de mensagens SMS são registrados com Godaddy ou usam serviços DNS dinâmicos, como duckdns.org.”, explica SEKOIA no relatório.

O conjunto de intrusão usa mais de cem subdomínios e dezenas de FQDN resolvem cada endereço IP.

Curiosamente, a operação de smishing (phishing SMS) depende de servidores C2 separados daqueles usados ​​pelo XLoader, e os analistas puderam identificar nove deles hospedados nos sistemas autônomos EHOSTIDC e VELIANET.

Para obter uma lista completa de indicadores de comprometimento da operação atual do Roaming Mantis, confira esta página do GitHub.

Deixe um comentário

Sair da versão mobile