Богомол пожирает тысячи устройств по всему миру

Богомол пожирает тысячи устройств по всему миру

Вредоносное ПО Roaming Mantis позволяет злоумышленникам взять устройство жертвы под контроль и украсть информацию.

image

Триумфально пройдясь по Германии, Тайваню, Южной Корее, Японии, США и Великобритании, группировка Roaming Mantis атаковала мобильные устройства во Франции. Специалисты предполагают, что уже могли быть заражены десятки тысяч устройств.

По словам экспертов, Roaming Mantis – группировка финансово мотивированных хакеров, которые начали атаковать европейцев в феврале 2022 года. В рамках последней вредоносной кампании злоумышленники используют SMS-рассылку, чтобы заманить пользователей Android на фишинговую страницу и заставить загрузить вредоносное ПО. Если жертва использует iOS , она перенаправляется на страницу, с помощью которой киберпреступники крадут учетные данные Apple ID.

Согласно отчету исследователей компании SEKOIA, группировка Roaming Mantis заставляет пользователей Android загружать на свои устройства полезную нагрузку XLoader – мощное вредоносное ПО, позволяющее хакерам получить удаленный доступ к устройству жертвы, красть ее информацию и рассылать от ее лица SMS-спам.

Текущая кампания Roaming Mantis направлена на французских пользователей и начинается с SMS-сообщения, отправленного потенциальным жертвам и призывающего их перейти по вложенному URL-адресу. В сообщении сообщается об отправленной жертвой посылке, которую нужно просмотреть и организовать ее доставку с помощью специального приложения. Если жертва загружает APK, оно запускается и имитирует установку Chrome, запрашивая рискованные разрешения, такие как чтение и отправка SMS, совершение телефонных звонков, чтение и запись данных в хранилище, получение списка учетных записей и многое другое. После этого C&C-конфигурация извлекается из профиля на площадке Imgur.

Если цель использует iOS, она попадает на фишинговую страницу, которая похищает Apple ID жертвы.

Цепочка атак Roaming Mantis

Для пользователей за пределами Франции серверы Roaming Mantis выдают ошибку 404, и атака прекращается.

SEKOIA подтвердила, что на данный момент более 90 000 жертв загрузили XLoader с главного C&C-сервера злоумышленников. Количество пользователей iOS, которые передали свои учетные данные Apple ID хакерам, неизвестно и может быть таким же или даже больше.




Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!