حمله Roaming Mantis به کاربران اندروید و iOS

پس از حمله به آلمان، تایوان، کره جنوبی، ژاپن، ایالات متحده و بریتانیا، هدف بعدی عملیات Roaming Mantis، کاربران اندروید و iOS در فرانسه بود و احتمالاً ده‌ها هزار دستگاه را به خطر انداخت.

اعتقاد بر این است که Roaming Mantis یک عامل تهدید با انگیزه مالی است که در فوریه شروع به هدف قرار دادن کاربران اروپایی کرد.

در کمپینی که اخیراً مشاهده شده است، عامل تهدید از ارتباطات SMS به منظور فریب دادن کاربران برای دانلود بدافزار در دستگاه‌های اندرویدی خود استفاده می‌کند. اگر قربانی احتمالی از iOS استفاده کند، برای اطلاعات اعتبارنامه اپل به صفحه فیشینگ هدایت می‌شود.

رها کردن XLoader

در گزارشی که امروز منتشر شد، محققان شرکت امنیت سایبری SEKOIA می گویند که گروه Roaming Mantis اکنون کد XLoader (MoqHao) را بر روی دستگاه های اندرویدی رها می‌کند، یک بدافزار قدرتمند که ویژگی هایی مانند دسترسی از راه دور، سرقت اطلاعات و ارسال هرزنامه پیامک را محاسبه می‌کند.

کمپین در حال پیشرفت Roaming Mantis کاربران فرانسوی را هدف قرار می‌دهد و با یک پیامک که برای قربانیان جدید ارسال می‌شود شروع شده و از آنها می‌خواهد که یک URL را دنبال کنند.

پیامک از بسته ای خبر می‌دهد که برایشان ارسال شده و باید آن را بررسی و تحویل آن را هماهنگ کنند.

اگر کاربر در فرانسه واقع شده باشد و از یک دستگاه iOS استفاده کند، به صفحه فیشینگ هدایت می‌شود که اعتبارنامه اپل را می دزدد. کاربران اندروید به سایتی هدایت می‌شوند که فایل نصبی را برای یک برنامه تلفن همراه ارائه می‌دهد (یک کیت بسته Android – APK ).

برای کاربران خارج از فرانسه سرورهای Roaming Mantis خطای 404 را نشان می‌دهند و حمله متوقف می‌شود.

APK نصب Chrome را اجرا و تقلید می‌کند و مجوزهای خطرناکی مانند رهگیری پیامک، برقراری تماس تلفنی، خواندن و نوشتن فضای ذخیره‌سازی، مدیریت هشدارهای سیستم، دریافت فهرست حساب‌ها و موارد دیگر را درخواست می‌کند.

پیکربندی سرور کنترل و فرمان از یک صفحه در وبسایت imgur خوانده میشود که آدرس آن به طور ثابت در کد بدافزار قرار گرفته است. البته برای فرار از تشخیص، آدرس سرور به شکل base64 کدگذاری شده است.

SEKOIA تایید کرد که تا کنون بیش از 90000 آدرس IP منحصربفرد، XLoader را از سرور اصلی C2 درخواست کرده‌اند، بنابراین تعداد قربانیان ممکن است قابل توجه باشد.

تعداد کاربران iOS که اعتبارنامه Apple iCloud خود را در صفحه فیشینگ Roaming Mantis تحویل داده‌اند ناشناخته است و می تواند یکسان یا حتی بیشتر باشد.

جزئیات زیرساخت

تحلیلگران SEKOIA گزارش می‌دهند که زیرساخت Roaming Mantis از آخرین تجزیه و تحلیل آن از تیم Cymru در آوریل گذشته تغییر چندانی نکرده است.

سرورها همچنان دارای پورت های باز در TCP/443، TCP/5985، TCP/10081 و TCP/47001 هستند، در حالی که همان گواهینامه‌هایی که در ماه آوریل مشاهده شد هنوز در حال استفاده هستند.

SEKOIA در این گزارش توضیح می‌دهد: «دامنه‌های مورد استفاده در پیام‌های SMS یا با Godaddy ثبت شده‌اند یا از سرویس‌های DNS پویا مانند duckdns.org استفاده می‌کنند. »

جالب اینجاست که عملیات smishing (فیشینگ پیامکی) متکی به سرورهای C2 مجزا از سرورهای مورد استفاده XLoader است و تحلیلگران می‌توانند 9 مورد از آن‌هایی را که در EHOSTIDC و VELIANET Autonomous Systems میزبانی شده‌اند شناسایی کنند.

منبع: Bleeping_Computer