RoamingMantis通过恶意软件和网络钓鱼攻击以Android和iOS用户为目标该攻击可能已经危及数万台设备。RoamingMantis被认为是一种出于经济动机的威胁行为者,早在2月份就针对欧洲用户发起了攻击。在最近观察到的网络攻击活动中,攻击者被发现使用SMS通信来引诱用户在他们的Android设备上下载恶意软件,如果用户使用的是iOS,他们将被重定向到钓鱼页面以获取Apple凭据。在最近的一份报告中,网络安全公司SEKOIA的研究人员表示,RoamingMantis现在正在Android设备上投放XLoader(MoqHao)有效载荷,这是一种功能强大的恶意软件,可以计算远程访问、信息窃取和SMS垃圾邮件等功能。正在进行的RoamingMantis活动以法国用户为目标,向潜在受害者发送短信并诱使用户点击链接。用户会收到一条短信,通知他们包裹已收到,需要验货并安排派送。如果用户位于法国并使用iOS设备,他们将被引导至窃取Apple凭据的网络钓鱼页面。Android用户会被定向到一个提供移动应用程序(AndroidPackageKit-APK)安装文件的站点。但对于法国以外的用户,RoamingMantis的服务器显示404错误,攻击停止。攻击中,APK执行并模仿Chrome安装,请求风险权限,如短信拦截、拨打电话、读写存储、处理系统告警、获取账户列表等。Commandandcontrol(C2)配置为从硬编码的Imgur配置文件目标中检索,这些目标采用base64编码以逃避检测。SEKOIA证实,到目前为止,已有超过90,000个唯一IP地址从C2主服务器请求XLoader。截至目前,它表示在RoamingMantis钓鱼页面上提交AppleiCloud凭据的iOS用户数量未知,可能高于预期。网络钓鱼页面SEKOIA的分析师报告称,自Cymru团队去年4月上次分析以来,RoamingMantis的基础设施没有太大变化,服务器运行在TCP/443、TCP/5985、TCP/10081和TCP/47001上仍然有开放端口而April看到他们仍然使用相同的证书,他们在SMS消息中使用的域要么在Godaddy上注册,要么使用动态DNS服务,例如duckdns.org,并且入侵收集使用了一百多个子域名,并且每个IP地址都有几十个FQDN解析。有趣的是,RoamingMantis的SMS网络钓鱼活动依赖于独立于XLoader使用的C2服务器,分析师能够识别出其中九个托管在EHOSTIDC和VELIANET系统上的服务器。参考来源:https://www.bleepingcomputer.com/news/security/roaming-mantis-hits-android-and-ios-users-in-malware-phishing-attacks/
