在襲擊德國(guó)、臺(tái)灣、韓國(guó)、日本、美國(guó)和英國(guó)之后，Roaming Mantis將轉(zhuǎn)向法國(guó)，并針對(duì)法國(guó)Android和iOS用戶發(fā)起攻擊，這次攻擊可能會(huì)危及數(shù)萬(wàn)臺(tái)設(shè)備。Roaming Mantis被認(rèn)為是一個(gè)出于經(jīng)濟(jì)動(dòng)機(jī)的威脅行為者，早在2月時(shí)，就曾針對(duì)歐洲用戶發(fā)起過(guò)攻擊。在最近觀察到的一次網(wǎng)絡(luò)攻擊活動(dòng)中，該攻擊者被發(fā)現(xiàn)使用SMS通信來(lái)引誘用戶在其 Android 設(shè)備上下載惡意軟件，如果用戶使用 iOS，他們將被重定向到 Apple 憑據(jù)的網(wǎng)絡(luò)釣魚頁(yè)面。

在近期發(fā)布的一份報(bào)告中，網(wǎng)絡(luò)安全公司SEKOIA的研究人員表示，Roaming Mantis現(xiàn)在正在Android設(shè)備上投放XLoader (MoqHao) 有效荷載，這是一種強(qiáng)大的惡意軟件，可以計(jì)算遠(yuǎn)程訪問(wèn)、信息竊取和短信垃圾郵件等功能。正在進(jìn)行的Roaming Mantis活動(dòng)以法國(guó)用戶為目標(biāo)，他們向潛在受害者發(fā)送短信，并引誘用戶點(diǎn)擊鏈接。用戶會(huì)收到一條短信，告知他們已經(jīng)收到了一個(gè)包裹，他們需要檢查并安排送貨。

如果用戶位于法國(guó)并且使用iOS設(shè)備，他們將被定向到竊取Apple憑據(jù)的網(wǎng)絡(luò)釣魚頁(yè)面。Android用戶則被指向一個(gè)提供移動(dòng)應(yīng)用程序安裝文件的站點(diǎn)（Android Package Kit - APK）。但對(duì)于法國(guó)以外的用戶，Roaming Mantis的服務(wù)器顯示404 錯(cuò)誤并且攻擊停止。

在攻擊中，APK執(zhí)行并模仿Chrome安裝，并請(qǐng)求風(fēng)險(xiǎn)權(quán)限，例如短信攔截、撥打電話、讀寫存儲(chǔ)、處理系統(tǒng)警報(bào)、獲取帳戶列表等。命令和控制 (C2) 配置是從硬編碼的Imgur配置文件目標(biāo)中檢索的，這些攻擊以base64編碼以逃避檢測(cè)。

SEKOIA證實(shí)，到目前為止，有超過(guò)90000個(gè)唯一的IP地址從C2主服務(wù)器請(qǐng)求XLoader。 截至目前，其表示在Roaming Mantis 網(wǎng)絡(luò)釣魚頁(yè)面上提交Apple iCloud憑據(jù)的iOS用戶數(shù)量未知，有可能比預(yù)期的更高。

網(wǎng)絡(luò)釣魚頁(yè)面

SEKOIA的分析師報(bào)告稱，自去年4月Cymru團(tuán)隊(duì)的最后一次分析以來(lái)，Roaming Mantis的基礎(chǔ)設(shè)施并沒(méi)有太大變化，這些服務(wù)器在TCP/443、TCP/5985、TCP/10081 和 TCP/47001上仍然有開(kāi)放端口，而4月份看到他們?nèi)栽谑褂孟嗤淖C書，他們?cè)赟MS消息中使用的域名要么是在Godaddy注冊(cè)的，要么使用動(dòng)態(tài)DNS服務(wù)，例如duckdns.org，而入侵集合使用了一百多個(gè)子域名，每個(gè)IP地址都有幾十個(gè)FQDN解析。有趣的是，Roaming Mantis的短信釣魚(SMS phishing)活動(dòng)依賴獨(dú)立于XLoader使用的C2服務(wù)器，分析人員可以識(shí)別出其中9個(gè)托管在EHOSTIDC和VELIANET系統(tǒng)上的活動(dòng)。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/roaming-mantis-hits-android-and-ios-users-in-malware-phishing-attacks/