Вредоносное ПО Roaming Mantis, распространяющееся по всему миру, одинаково поражает пользователей Android и iOS
вычисления techradar.com Новости

Вредоносное ПО Roaming Mantis, распространяющееся по всему миру, одинаково поражает пользователей Android и iOS

19 июля 2022 г.

Roaming Mantis, вредоносное ПО для Android, предназначенное для кражи конфиденциальных данных, и, возможно, даже деньги от его жертв теперь нацелены на народ Франции, говорят исследователи кибербезопасности.

Прежде чем атаковать французов, Roaming Mantis атаковал людей в Германии, Тайване, Южной Корее, Японии, США и Великобритании, сообщает BleepingComputer.

Это не то же самое, что ботнет Mantis, который недавно появился как один из самых крупных и мощных ботнетов из когда-либо существовавших.

Десятки тысяч жертв

Эта операция была обнаружена исследователями кибербезопасности из SEKOIA. Проанализировав кампанию, исследователи обнаружили, что методология не сильно изменилась: жертвы сначала получали SMS, и в зависимости от того, являются ли они пользователями iOS или Android, они перенаправлялись на разные сайты.

Пользователи Apple будут перенаправлены на фишинговую страницу, где злоумышленники попытаются обманом выдать их учетные данные, а пользователям Android будет предложено загрузить XLoader (MoqHao), мощную вредоносную программу, позволяющую злоумышленникам удаленно доступ к скомпрометированной конечной точке, доступ к конфиденциальным данным, а также к SMS-приложениям (возможно, для дальнейшего расширения операции).

Исследователи полагают, что бродячий богомол бродил по Франции в феврале 2022 года. Пользователи за пределами страны, получающие SMS, находятся в безопасности, так как серверы покажут ошибку 404 и остановят атаку.

Очевидно, что кампания прошла успешно, так как исследователи обнаружили, что XLoader с главного сервера управления и контроля уже загружены с более чем 90 000 уникальных IP-адресов. С учетом пользователей iOS число растет еще больше, но, к сожалению, его невозможно определить.

Подробнее

> Эта вредоносная программа для Android настолько опасна, что даже Google беспокоится

> Осторожно! Еще одна опасная вредоносная программа для Android была загружена из Google Play Store миллионами раз

> Ищете лучший антивирус для Android? Мы поможем вам

Бродячий богомол также умеет оставаться в тени и избегать антивирусных решений. Было сказано, что он получает конфигурацию C2 из жестко заданных мест назначения профиля Imgur, дополнительно закодированных в base64.

В остальном инфраструктура кампании практически не изменилась по сравнению с апрелем, когда ее анализировали в последний раз. Серверы по-прежнему имеют открытые порты TCP/443, TCP/5985, TCP/10081 и TCP/47001 и используют те же сертификаты.

«Домены, используемые в SMS-сообщениях, либо зарегистрированы в Godaddy, либо используют динамические службы DNS, такие как duckdns.org», — сказал SEKOIA.

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE