卡巴斯基實驗室的研究人員觀察到Roaming Mantis最近出現(xiàn)的一些新活動，以及主要用于此活動的 Android 木馬 Wroba.g(或 Wroba.o，又名 Moqhao，XLoader)的一些變化。此外，他們發(fā)現(xiàn)除了日本、韓國之外，法國和德國也成了攻擊目標(biāo)。

對Roaming Mantis的最新研究表明，該攻擊組織正專注于通過向歐洲用戶發(fā)送短信來擴大感染。法國和德國的活動非常活躍，甚至引起了德國警方和法國媒體的注意。他們提醒用戶注意發(fā)送消息和用作登錄頁面的受感染網(wǎng)站。

德國和法國網(wǎng)站上的smishing警報

通常情況下，smishing(所謂的smishing，就是SMS短信和網(wǎng)絡(luò)釣魚術(shù)語的組合)信息包含一個非常簡短的描述和一個登陸頁面的URL。如果用戶點擊該鏈接并打開登錄頁面，會出現(xiàn)兩種情況：iOS 用戶被重定向到模仿蘋果官方網(wǎng)站的網(wǎng)絡(luò)釣魚頁面，而 Wroba 惡意軟件被下載到 Android 設(shè)備上。

來自 smishing 消息的鏈接重定向到 Wroba 或網(wǎng)絡(luò)釣魚頁面

根據(jù)我們在 2021 年 7 月至 2022 年 1 月期間收集的監(jiān)測數(shù)據(jù)，已在許多地區(qū)檢測到 Wroba.g 和 Wroba.o。受影響最嚴(yán)重的國家是法國、日本、印度、中國、德國和韓國。

受 Trojan-Dropper.AndroidOS.Wroba.g 和 Trojan-Dropper.AndroidOS.Wroba.o 影響的地區(qū)

另外還有一些非常有趣的關(guān)于 Roaming Mantis 登陸頁面統(tǒng)計的數(shù)據(jù)，這些數(shù)據(jù)是由日本獨立安全專家 @ninoseki 在 2021 年互聯(lián)網(wǎng)周和 Github 上發(fā)布的。數(shù)據(jù)顯示了在 2021 年 9 月的特定日期，Roaming Mantis使用 Wroba.g/Wroba.o 的七個目標(biāo)區(qū)域中下載的 APK 文件、登錄頁面域和 IP 地址的數(shù)量。

下載的APK文件數(shù)量和登陸頁面的IP/域

下表是根據(jù) APK 文件下載次數(shù)的排名。受影響最嚴(yán)重的國家是法國，其次是日本、德國等。5

登陸頁面中的反分析技巧

在整個 2020 年和 2021 年期間，Roaming Mantis 背后的犯罪集團在登錄頁面腳本中使用了各種混淆技術(shù)，以逃避檢測。

登陸頁面腳本中使用的各種混淆技術(shù)

除了使用混淆技術(shù)之外，登錄頁面還會在非目標(biāo)區(qū)域阻止來自源 IP 地址的連接，并僅顯示這些連接的虛假“404”頁面。

自2019年以來，登陸頁面的用戶代理檢查功能一直沒有改變，它通過用戶代理對設(shè)備進(jìn)行評估，如果設(shè)備是ios系統(tǒng)，則重定向到釣魚頁面，如果設(shè)備是android系統(tǒng)，則發(fā)送惡意APK文件。

技術(shù)分析：Wroba.g/Wroba.o的loader模塊

研究人員以 kuronekoyamato.apk 為例，對 Wroba.g/Wroba.o 樣本進(jìn)行了深入分析，并觀察到了加載程序模塊和有效載荷中的一些修改。首先，攻擊者將編程語言從 Java 更改為 Kotlin，這是一種旨在與 Java 完全互操作的編程語言。然后，攻擊者刪除了 multidex 混淆技巧。取而代之的是，嵌入有效載荷 (\assets\rmocpdx\15k7a5q) 的數(shù)據(jù)結(jié)構(gòu)也被修改如下：

嵌入式有效載荷的修改數(shù)據(jù)結(jié)構(gòu)

數(shù)據(jù)的前 8 個字節(jié)是垃圾代碼(灰色)，然后是有效載荷的大小(橙色)、單字節(jié)異或密鑰(紅色)、加密的有效載荷(綠色)和更多的垃圾代碼(灰色)。此外，在 APK 文件中嵌入了一個 ELF 文件 \lib\armeaib-v7a\libdf.so：它使用 Java 原生接口 (JNI) 作為第二階段的有效載荷，用于解密和加載功能的一部分。解密過程和算法只需以下三個步驟：

登陸頁面腳本中的各種混淆技術(shù)

首先，加載器函數(shù)從嵌入的數(shù)據(jù)中取出除垃圾數(shù)據(jù)之外的每一部分?jǐn)?shù)據(jù)。然后，使用嵌入的XOR密鑰對加密的載荷進(jìn)行XOR。在XOR操作之后，與前面的示例一樣，使用zlib解壓數(shù)據(jù)以提取有效載荷Dalvik可執(zhí)行文件(DEX)。

以下簡單的 Python 腳本有助于提取有效載荷：

在此示例中，解密的有效載荷保存為 \data\data\ggk.onulfc.jb.utxdtt.bk\files\d 并執(zhí)行以感染受害者設(shè)備上的惡意主模塊。

技術(shù)分析：Wroba.g/Wroba.o 的有效載荷

關(guān)于 Wroba.g/Wroba.o 有效載荷的更新，卡巴斯基專家僅觀察到有效載荷部分的兩個微小的更新。其中之一是檢查受感染設(shè)備的區(qū)域以便以相應(yīng)語言顯示網(wǎng)絡(luò)釣魚頁面的功能。如上圖所示，很明顯德國和法國已經(jīng)成為Wroba.g/Wroba.oRoaming Mantis的主要目標(biāo)。

另一個修改是在后門命令中，開發(fā)人員添加了兩個后門命令——“get_photo”和“get_gallery”，并刪除了命令“show_fs_float_window”?？偟膩碚f，有21個嵌入式后門命令。

帶有兩個新命令“get_gallery”和“get_photo”的嵌入式后門命令列表

添加這些新的后門命令是為了從受感染的設(shè)備竊取圖庫和照片，這表明攻擊者有兩個目的。一種可能的情況是，攻擊者竊取諸如駕照、健康保險卡或銀行卡等信息，以簽署二維碼支付服務(wù)或移動支付服務(wù)合同。攻擊者還可以用竊取的照片以其他方式獲取錢財，比如敲詐勒索。載荷的其他功能不變。

總結(jié)

自從卡巴斯基第一次觀察Roaming Mantis活動以來，已經(jīng)過去了將近四年。此后，該犯罪組織利用HEUR:Trojan-Dropper.AndroidOS.Wroba等各種惡意軟件家族，以及網(wǎng)絡(luò)釣魚、挖礦、網(wǎng)絡(luò)釣魚和DNS感染等各種攻擊手段，繼續(xù)進(jìn)行攻擊活動。此外，該集團現(xiàn)在已經(jīng)擴大了其攻擊范圍，在其主要目標(biāo)地區(qū)增加了兩個歐洲地區(qū)國家。

本文翻譯自：https://securelist.com/roaming-mantis-reaches-europe/105596/如若轉(zhuǎn)載，請注明原文地址。