Roaming Mantis colpisce gli utenti Android e iOS con attacchi di malware e phishing
Pubblicato da Angelo Domeneghini in Adware - Malware - Phishing - Ransomware - Spoofing - Trojan · 19 Luglio 2022
Tags: #mantins, #malware, #phishing, #android, #ios
Tags: #mantins, #malware, #phishing, #android, #ios
Roaming Mantis colpisce gli utenti Android e iOS con attacchi di malware e phishing
Dopo aver colpito Germania, Taiwan, Corea del Sud, Giappone, Stati Uniti e Regno Unito, l'operazione Roaming Mantis è passata a prendere di mira gli utenti Android e iOS in Francia, compromettendo probabilmente decine di migliaia di dispositivi.
Si ritiene che Roaming Mantis sia un attore di minacce motivato finanziariamente che ha iniziato a prendere di mira gli utenti europei a febbraio. In una campagna osservata di recente, l'attore della minaccia utilizza la comunicazione SMS per indurre gli utenti a scaricare malware sui propri dispositivi Android.
Se la potenziale vittima utilizza iOS, viene reindirizzata a una pagina di phishing per le credenziali Apple. Xloader in caduta In un rapporto pubblicato oggi, i ricercatori della società di sicurezza informatica SEKOIA affermano che il gruppo Roaming Mantis sta ora rilasciando sui dispositivi Android il payload XLoader (MoqHao), un potente malware che conta funzionalità come l'accesso remoto, il furto di informazioni e lo spamming degli SMS.
La campagna Roaming Mantis in corso prende di mira gli utenti francesi e inizia con un SMS inviato alle potenziali vittime, esortandole a seguire un URL. Il messaggio di testo informa su un pacco che è stato loro inviato e di cui hanno bisogno per rivedere e organizzare la sua consegna. Se l'utente si trova in Francia e utilizza un dispositivo iOS, viene indirizzato a una pagina di phishing che ruba le credenziali di Apple. Gli utenti Android vengono indirizzati a un sito che fornisce il file di installazione per un'app mobile (un Android Package Kit - APK).
Per gli utenti al di fuori della Francia i server di Roaming Mantis mostrano un errore 404 e l'attacco si interrompe.
L'APK esegue e imita un'installazione di Chrome, richiedendo autorizzazioni rischiose come l'intercettazione di SMS, effettuare telefonate, leggere e scrivere spazio di archiviazione, gestire gli avvisi di sistema, ottenere l'elenco degli account e altro ancora. La configurazione di comando e controllo (C2) viene recuperata dalle destinazioni del profilo Imgur hardcoded che sono codificate in base64 per eludere il rilevamento.
SEKOIA ha confermato che finora oltre 90.000 indirizzi IP univoci hanno richiesto XLoader dal server C2 principale, quindi il pool di vittime potrebbe essere significativo. Il numero di utenti iOS che hanno consegnato le proprie credenziali iCloud di Apple sulla pagina di phishing di Roaming Mantis è sconosciuto e potrebbe essere lo stesso o addirittura superiore.