Aşağıdaki ülkelerdeki kullanıcılara yönelik saldırılarının ardından Roaming Mantis operasyonu artık Android ve iOS cihazlarla Fransa’daki kullanıcılara saldırdı.
- Almanya
- Tayvan
- Güney Kore
- Japonya
- Birleşik Devletler
- Birleşik Krallık
Günde yaklaşık on binlerce kullanıcı olan Roaming Mantis, Şubat ayı başlarında çeşitli Avrupalı kullanıcıları hedefliyordu. Tehdit aktörünün motivasyonlarının bir sonucu olarak, finansal olarak motive oldukları tahmin edilmektedir.
Bir kimlik avı SMS’inde, SEKOIA.IO’daki bir analist, içine kötü amaçlı bir URL yerleştirilmiş olarak gönderildi. Bu URL’ye tıklamanın bir sonucu olarak, MoqHao (XLoader) Android kötü amaçlı yazılımı ya dağıtılır ya da Apple oturum açma ayrıntılarından kimlik bilgilerinin toplanmasına izin veren bir sayfa yeniden yönlendirilir.
Fransa’yı geniş çapta etkileyen bu kampanya sırasında yaklaşık 70.000 Android cihazın güvenliğinin ihlal edilmiş olma ihtimali var.
Roaming Mantis Drops XLoader
Yeni bir yük olan XLoader (MoqHao), Roaming Mantis grubu tarafından Android cihazlara bırakılıyor. Bu kötü amaçlı yazılım, ana bilgisayara uzaktan erişme, bilgi çalma ve kurbanın telefonundan veya bilgisayarından spam SMS mesajları gibi çeşitli ilginç özelliklere sahip olduğundan, en güçlü kötü amaçlı yazılımlardan biri olarak sayılır.
Şu anda devam eden Roaming Mantis kampanyasının hedefi Fransız kullanıcılar. Saldırı başlatılır başlatılmaz, kurbanlara belirli bir bağlantıyı takip etmelerini gerektiren bir URL içeren bir metin mesajı gönderilir.
Aldıkları bir paketin teslimatını inceleyip düzenlemeleri için kısa mesaj yoluyla bilgilendiriliyorlar.
Kullanıcı, Fransa’da bulunuyorsa ve bir iOS cihazı kullanıyorsa, kullanıcıdan Apple kimlik bilgilerini çalan bir kimlik avı sayfasına yönlendirilir.
Android kullanıcısı, indirilebilir bir mobil uygulamanın kurulum dosyasını içeren bir web sitesine yönlendirilir.
Roaming Mantis’in sunucularından 404 hatası almak, saldırının Fransa dışındaki müşteriler için sona erdiğinin bir göstergesidir.
İstenen ve İstismar Edilen İzinler
APK, Chrome yüklemesini çoğaltan ve aşağıdakiler gibi hassas verilere ve izinlere yetkisiz erişim talep eden kötü amaçlı bir uygulamadır:-
- SMS müdahalesi
- Telefon araması yapmak
- Okuma deposu
- Yazma depolama
- Sistem bildirimlerini işleme
- Hesap listesine erişim
Bazı sabit kodlanmış Imgur profil hedefleri, tespit edilmesini daha zor hale getirmek için base64’te kodlanmış C2 için yapılandırma bilgilerini almak için kullanılır.
Ayrıca XLoader, ana C2 sunucusundan 90.000’den fazla benzersiz IP adresi tarafından talep edilmiştir. Roaming Mantis’in son analizinden bu yana, altyapısında çok az değişiklik yapıldı.
Aşağıdaki adreslerdeki sunucularda hala açık bağlantı noktaları var: –
- TCP/443
- TCP/5985
- TCP/10081
- TCP/47001
Nisan ayından beri aynı sertifikaların kullanılmasına rağmen. İzinsiz giriş setinde 100’den fazla alt etki alanı kullanılır ve bununla ilişkili her IP adresini çözmek için düzinelerce FQDN kullanılır.
Bizi Linkedin’den takip edebilirsiniz, heyecan, Facebook günlük Siber Güvenlik ve hack haber güncellemeleri için.