Soc

Вредоносное ПО на Android Roaming Mantis атакует европейских пользователей

Вредоносное ПО на Android Roaming Mantis атакует европейских пользователей Вредоносное ПО на Android Roaming Mantis атакует европейских пользователей Вредоносное ПО на Android Roaming Mantis атакует европейских пользователей
08.02.2022

Исследователи предупреждают, что вредонос Roaming Mantis нацелился на пользователей Android и iPhone в Германии и Франции, используя для атак вредоносные приложения и фишинг, пишет Хакер.

Напомню, что Roaming Mantis был обнаружен еще в 2018 году. Изначально он атаковал пользователей из Японии, Кореи, Китая, Индии и Бангладеш, но затем «заговорил» еще на двух десятках языков (в том числе и на русском) и начал быстро распространяться по другим странам.

Малварь использовала взломанные роутеры, чтобы заражать смартфоны и планшеты, работающие под управлением Android, перенаправляла устройства на базе iOS на фишинговый сайт, а также запускала майнинговые скрипты CoinHive на десктопах и ноутбуках. Для всего этого применялась техника DNS hijacking — подмена DNS, из-за чего атаки зачастую удавалось обнаружить не сразу.

Сейчас для распространения вредоноса также используется SMS-фишинг (такие атаки порой называют «смишинг»), при помощи которого хакеры продвигают вредоносные приложения для Android в виде отдельных APK-файлов, то есть не из Google Play Store.

Как сообщает «Лаборатория Касперского», новые версии Roaming Mantis используют троян Wroba и в основном нацелены на пользователей из Франции и Германии, рассылая вредоносные SMS и ссылки на зараженные сайты. Целью Wroba является кража информации об электронном банкинге жертвы, и он автоматически распространяется с помощью SMS-сообщений по всему списку контактов зараженного устройства.

Переход по ссылке из такого SMS, если URL был открыт с устройства Apple, перенаправляет жертву на фишинговую страницу, где хакеры попытаются похитить учетные данные пользователя для входа в аккаунт Apple. В случае если жертва использует устройство Android, она попадает на другую целевую страницу, которая предлагает установить малварь, замаскированную под приложение для Android. Обычно вредонос маскируется под  Google Chrome или приложения Yamato и ePOST.

Ниже приведена статистика загрузок малвари всего за один день в сентябре 2021 года, то есть речь идет о десятках тысяч загрузок APK в странах Европы.

По сравнению с прошлыми вариантами Wrogba претерпел изменения и теперь написан на Kotlin. В общей сложности малварь может выполнить 21 вредоносную команду, включая две новые: get_gallery и get_photo, которые предназначены для кражи фотографий и видеозаписей жертвы. По мнению исследователей, это может применяться с целью финансового мошенничества, кражи личных данных, шантажа и вымогательства (в случае кражи конфиденциальных данных).

«Один из возможных сценариев [атаки] заключается в том, что преступники похищают данные водительских прав, карт медицинского страхования или банковских карт, чтобы подписываться на сервисы, где платежи осуществляются через QR-коды или с сервисы мобильных платежей. Также преступники могут использовать украденные фото для получения денег другими способами, включая шантаж и сексуальное вымогательство», — говорят специалисты.


Читайте также


Комментарии 0