卡巴斯基实验室研究人员最近观察到一些新的RoamingMantis活动,以及Android木马Wroba.g(或Wroba.o,又名Moqhao、XLoader的一些变化)。此外,他们还发现,除了日韩之外,法国和德国也成为了目标。对RoamingMantis的最新研究表明,该攻击者组织正致力于通过向欧洲用户发送短信来扩大其感染范围。在法国和德国的活动非常活跃,甚至引起了德国警方和法国媒体的关注。他们提醒用户注意发送消息并充当登录页面的受感染网站。德国和法国网站上的网络钓鱼警报通常,网络钓鱼(所谓的网络钓鱼,是SMS文本消息和网络钓鱼术语的组合)消息包含非常简短的描述和登录页面的URL。如果用户点击该链接并打开登录页面,则会发生两件事:iOS用户被重定向到一个模仿苹果官方网站的钓鱼页面,而Wroba恶意软件会被下载到Android设备。钓鱼邮件的链接重定向到Wroba或钓鱼页面根据我们在2021年7月至2022年1月期间收集的监控数据,在许多地区检测到Wroba.g和Wroba.o。受影响最严重的国家是法国、日本、印度、中国、德国和韩国。受Trojan-Dropper.AndroidOS.Wroba.g和Trojan-Dropper.AndroidOS.Wroba.o影响的地区也有一些关于RoamingMantis着陆页统计数据的非常有趣的数据,这些数据由独立的日本安全专家@ninosekiInternetWeek2021和发布在Github上。该数据显示了RoamingMantis在2021年9月的特定日期使用Wroba.g/Wroba.o在七个目标区域下载的APK文件数、着陆页域和IP地址。下载的APK文件数和着陆IP/域Page下表是根据APK文件下载量排名的。受影响最严重的国家是法国,其次是日本、德国等。5着陆页反分析技术整个2020年和2021年,RoamingMantis背后的犯罪集团在着陆页脚本中使用了各种混淆技术来逃避检测。登陆页面脚本中使用的各种混淆技术除了使用混淆技术外,登陆页面还会阻止来自非目标区域的源IP地址的连接,并只显示这些连接的假“404”页面。登陆页面的用户代理检查功能自2019年以来没有改变,它通过用户代理评估设备,如果设备是ios系统,则重定向到钓鱼页面,如果设备是安卓系统,则发送恶意APK文件系统。技术分析:Wroba.g/Wroba.o的Loader模块研究人员以kuronekoyamato.apk为例,对Wroba.g/Wroba.o样本进行了深入分析,观察到loader模块和payload的一些修改。首先,攻击者将编程语言从Java更改为Kotlin,这是一种旨在与Java完全互操作的编程语言。然后,攻击者移除了multidex混淆技巧。而是将嵌入式payload(\assets\rmocpdx\15k7a5q)的数据结构也修改如下:修改后的embeddedpayload数据结构数据的前8个字节为垃圾代码(灰色),后面是payload的Size(橙色)、单字节XOR密钥(红色)、加密有效载荷(绿色)和更多垃圾代码(灰色)。此外,APK文件中嵌入了一个ELF文件\lib\armeaib-v7a\libdf.so:它使用Java本机接口(JNI)作为第二阶段有效载荷的一部分,用于解密和加载功能。解密过程和算法只需要以下三个步骤:着陆页脚本中的各种混淆技术首先,加载程序函数从嵌入数据中提取除垃圾数据之外的所有数据。然后,使用嵌入的XOR密钥对加密的有效负载进行XOR。在XOR操作之后,如上例所示,使用zlib解压缩数据以提取有效载荷Dalvik可执行文件(DEX)。以下简单的Python脚本有助于payload提取:在这个例子中,解密的payload被保存为\data\data\ggk.onulfc.jb.utxdtt.bk\files\d并被执行以感染恶意主模块。技术分析:Wroba.g/Wroba.oPayload关于Wroba.g/Wroba.oPayload的更新,卡巴斯基专家在Payload部分仅观察到两个小的更新。其中之一是能够检查受感染设备的区域,以便以相应的语言显示网络钓鱼页面。如上图,很明显德国和法国成为了Wroba.g/Wroba.oRoamingMantis的主要目标。另一个修改是在后门命令中,开发人员添加了两个后门命令——“get_photo”和“get_gallery”,并删除了命令“show_fs_float_window”。总共有21个嵌入式后门命令。带有两个新命令“get_gallery”和“get_photo”的嵌入式后门命令列表添加这些新的后门命令是为了从受感染的设备中窃取图库和照片,这表明攻击者有两个目标。一种可能的场景是攻击者窃取驾照、医保卡、银行卡等信息签署二维码支付服务或移动支付服务合同。攻击者还可以使用偷来的照片以其他方式获取金钱,例如勒索。载荷的其他功能保持不变。总结自卡巴斯基首次观察到RoamingMantis活动以来已经将近四年了。此后,该犯罪集团不断利用HEUR:Trojan-Dropper.AndroidOS.Wroba等各类恶意软件家族,以及钓鱼、挖矿、钓鱼、DNS感染等多种攻击方式进行攻击。此外,该组织现在扩大了其影响范围,将两个欧洲国家纳入其主要目标区域。本文翻译自:https://securelist.com/roaming-mantis-reaches-europe/105596/如有转载请注明出处。
