Mobil tehdit kampanyası şu şekilde izlendi: Gezici Mantis Avrupa ülkelerini de kapsayacak şekilde genişletmesinden aylar sonra, Fransız cep telefonu kullanıcılarına yönelik yeni bir uzlaşma dalgasıyla ilişkilendirildi.
Sekoia, geçen hafta yayınlanan bir raporda, aktif kötü amaçlı yazılım operasyonunun bir parçası olarak en az 70.000 Android cihazına bulaştığı söyleniyor.
Finansal olarak motive olmuş bir Çinli tehdit aktörü olan Roaming Mantis’i içeren saldırı zincirlerinin ya MoqHao (diğer adıyla XLoader) adlı bir bankacılık truva atı dağıttığı ya da iPhone kullanıcılarını iCloud giriş sayfasını taklit eden kimlik bilgisi toplama açılış sayfalarına yönlendirdiği biliniyor.
Sekoia araştırmacıları, “MoqHao (diğer adıyla Wroba, Android için XLoader), bilgi çalma ve arka kapı yeteneklerine sahip, muhtemelen SMS yoluyla yayılan bir Android uzaktan erişim truva atıdır (RAT).
Her şey, sahte bağlantılar içeren paket teslimi temalı mesajlarla kullanıcıları cezbeden, tıklandığında kötü amaçlı APK dosyasını indirmeye devam eden, ancak yalnızca kurbanın konumunun Fransızca içinde olup olmadığını belirledikten sonra, smishing olarak bilinen bir teknik olan bir kimlik avı SMS’iyle başlar. sınırlar.
Bir alıcı Fransa dışında bulunuyorsa ve cihazın işletim sistemi ne Android ne de iOS değilse (IP adresi ve Kullanıcı Aracısı dizesi kontrol edilerek belirlenen bir faktör) sunucu, “404 Bulunamadı” durum koduyla yanıt verecek şekilde tasarlanmıştır.
Araştırmacılar, “Bu nedenle, smishing kampanyası coğrafi olarak sınırlandırılmıştır ve Android kötü amaçlı yazılımını yüklemeyi veya Apple iCloud kimlik bilgilerini toplamayı amaçlamaktadır” dedi.
MoqHao, genellikle birinci aşama dağıtım altyapısı için dinamik DNS hizmeti Duck DNS aracılığıyla oluşturulan etki alanlarını kullanır. Dahası, kötü niyetli uygulama, kullanıcıları kandırarak ona istilacı izinler vermelerini sağlamak için Chrome web tarayıcı uygulaması gibi görünüyor.
Casus yazılım truva atı, virüslü cihazlarla uzaktan etkileşim için bir yol penceresi sağlayarak, düşmanın diğerlerinin yanı sıra iCloud verileri, kişi listeleri, arama geçmişi, SMS mesajları gibi hassas verileri gizlice toplamasını sağlar.
Sekoia ayrıca, toplanan verilerin gasp planlarını kolaylaştırmak için kullanılabileceğini ve hatta kâr amacıyla diğer tehdit aktörlerine satılabileceğini de değerlendirdi. Araştırmacılar, “MoqHao’yu dağıtan C2 sunucusunu talep eden 90.000’den fazla benzersiz IP adresi” dedi.