حمله هکرها با استفاده از بدافزار Roaming Mantis به کاربران اندروید
محققان امنیت سایبری میگویند عملیات Roaming Mantis کاربران ios و اندرویدی را در کشورهای مختلف مورد حمله قرار داده است.
محققان امنیت سایبری میگویند عملیات Roaming Mantis پس از حمله به کاربران در کشورهای زیر، اکنون با دستگاههای اندروید و iOS به کاربران فرانسه حمله کرده است.
آلمان، تایوان، کره جنوبی، ژاپن، ایالات متحده آمریکا و انگلستانRoaming Mantis از اوایل فوریه، کاربران اروپایی مختلفی را هدف قرار داده است. در نتیجه عملیاتی که هدف آن سرقت دادههای حساس و احتمالاً حتی پول از قربانیان خود است.
پس از تجزیه و تحلیل کمپین، محققان دریافتند که روششناسی تغییر چندانی نکرده است. قربانیان ابتدا یک پیامک دریافت میکنند و بسته به اینکه کاربر iOS یا اندروید باشند، به سایتهای مختلف هدایت میشوند.
کاربران اپل به یک صفحه فیشینگ هدایت شده که در آن مهاجمان سعی میکنند آنها را فریب دهند تا اعتبار خود را ارائه دهند، در حالی که از کاربران اندروید دعوت میشود تا XLoader (MoqHao) را دانلود کنند، بدافزار قدرتمندی که به عوامل تهدید امکان دسترسی از راه دور به نقطه پایانی در معرض خطر را میدهد.
این احتمال وجود دارد که حدود 70 هزار دستگاه اندرویدی در طول این کمپین در معرض خطر قرار گرفته باشند که به طور گسترده فرانسه را تحت تأثیر قرار میدهد.
Roaming Mantis Drops XLoader
یک بسته جدید به نام XLoader (MoqHao) توسط گروه Roaming Mantis بر روی دستگاههای اندرویدی فرستاده میشود. این بدافزار به عنوان یکی از قویترین بدافزارها به حساب میآید، زیرا دارای چندین ویژگی جالب مانند دسترسی از راه دور به میزبان، سرقت اطلاعات و پیامهای اس ام اس اسپم از تلفن یا رایانه قربانی است.
کاربران فرانسوی هدف کمپین Roaming Mantis هستند که در حال حاضر ادامه دارد. به محض شروع حمله، به قربانیان یک پیام متنی با URL ارسال میشود که مستلزم دنبال کردن یک پیوند خاص است. برای بررسی و هماهنگی تحویل بستهای که دریافت کردهاند از طریق پیامک به آنها اطلاع داده میشود.
کاربر اپلی اگر در فرانسه باشد به یک صفحه فیشینگ هدایت میشود.
کاربر Android به وبسایتی هدایت میشود که حاوی فایل نصب یک برنامه تلفن همراه است که برای دانلود در دسترس است. دریافت خطای 404 از سرورهای Roaming Mantis نشانه پایان یافتن این حمله برای مشتریان خارج از فرانسه است.
مجوزهای زیر درخواست شده و مورد بهره برداری قرار میگیرد: رهگیری پیامک برقراری تماسهای تلفنی ذخیرهسازی خواندن ذخیرهسازی نوشتن رسیدگی به اعلانهای سیستم دسترسی به لیست حسابها
علاوه بر این، XLoader توسط بیش از 90000 آدرس IP منحصر به فرد از سرور اصلی C2 درخواست شده است. از آخرین باری که Roaming Mantis تجزیه و تحلیل شد، تغییرات کمی در زیرساخت آن ایجاد شده است.
منبع: gbhackers
باشگاه خبرنگاران جوان اجتماعی حوادث و انتظامی