Roaming Mantis såg för första gången inriktat på APAC-länder 2018 och fick nyligen uppdateringar som gjorde det möjligt för den att stjäla mer data och har börjat rikta in sig på individer i Frankrike och Tyskland.
Bild: Adobe Stock/Backcountry MediaDen mobila skadliga kampanjen känd som Roaming Mantis lämnade i stort sett nyhetscykeln efter att ha sprungit 2018, men Kaspersky rapporterar att lite nytt liv har blåsts in i kampanjen i form av nya funktioner och nya mål: Den här gången är det siktet inställt. på Frankrike och Tyskland.
Roaming Mantis är en smishing-kampanj för mobila enheter (textmeddelandenätfiske) som använder flera olika Android-trojaner (Wroba.g, Wroba.o, Moqhao och XLoader) för att ta kontroll över Android-enheter. iOS-användare är dock inte ute efter: När en Roaming Mantis sms-länk trycks kan den upptäcka typen av enhet och region, och när den hittar en iOS-enhet dirigerar den offret till en falsk Apple ID-inloggningssida i deras respektive lands språk.
Mobilitet måste läsas
När den först dök upp 2018 sa Kaspersky att Roaming Mantis hittades riktad mot användare av mobila enheter i Japan, Taiwan och Korea. Från och med juli 2021 sa Kaspersky att skadlig programvara som används av Roaming Mantis har hittats i Frankrike, Japan, Indien, Kina, Tyskland och Korea, i fallande ordning.
Det är inga bra nyheter: Roaming Mantis har potential att ta nästan total kontroll över en infekterad enhet.
Hur Roaming Mantis infekterar en enhet
Som nämnts ovan sprids Roaming Mantis genom nätfiske-textmeddelanden som Kaspersky sa innehåller en kort beskrivning och en obfuskerad länk. I båda exemplen på smishing-meddelanden som skickats till Frankrike och Tyskland handlade beskrivningen om paketspårning; en vanlig taktik cyberkriminella använder för att locka offer.
SER: Lösenordsintrång: Varför popkultur och lösenord inte blandas (gratis PDF) (TechRepublic)
När länken klickas möts Android-användare av en uppmaning att ladda ner något, vilket är Roaming Mantis malware dropper. När den väl har installerats kan Roaming Mantis skadliga program göra en mängd olika saker med den infekterade enheten: Skicka textmeddelanden, pinga enheten, läsa telefonens status, vidarekoppla samtal, låsa enheten och två nya som Kaspersky upptäckte som en del av 2021 års uppdateringar och inriktningsändringar: Stjäla enskilda foton eller hela gallerier.
Kaspersky sa att de nya funktionerna i synnerhet pekar på att Roaming Mantis utvecklare har två syften i åtanke. Först, att stjäla fotografier av olika former av ID, som körkort, sjukförsäkringskort och andra viktiga dokument som vi ofta skannar för att skicka till arbetsgivare för covid-testning och liknande. Kaspersky sa att denna information sannolikt kommer att användas för att registrera sig för kontrakt eller betaltjänster i offrets namn. Den andra troliga användningen som Kaspersy nämner är att utpressa användare som kan ha privata eller kränkande bilder på sin enhet.
Varför Roaming Mantis är så farligt
Eftersom Roaming Mantis har spridit sig till olika länder med olika språk, har det fortsatt att lägga till nya regionkontroller i sitt system, vilket i sin tur har lagt till sidor på franska, tyska och andra språk som används i länder som det riktar sig till.
Utöver sin förmåga att ändra för att passa sin miljö, använder Roaming Mantis också flera olika fördunklingstekniker på sina målsidor för att undvika upptäckt, samt undergräva forskare som försöker förstå dess kod. “Förutom förvirring blockerar målsidan anslutningen från käll-IP-adressen i icke-inriktade regioner och visar bara en falsk ‘404’-sida för dessa anslutningar”, sa Kaspersky.
Det är inte bara Frankrike och Tyskland som Roaming Mantis har spridit sig heller. Kaspersky citerade oberoende forskning publicerad av den japanska säkerhetsexperten @ninoseki som visar att den också är aktiv i USA, Indien, Taiwan och Turkiet, men inte på något sätt i närheten av det totala antalet infektioner i Frankrike och Japan, från vilka ninoseki upptäckte 66 789 och 22 254 nedladdningar en dag i september 2021. Oavsett den höga nivån av japanska upptäckter sa Kaspersky att de tror att Frankrike och Tyskland nu är Roaming Mantis främsta mål.
Som alla nätfiskerelaterade attacker kräver Roaming Mantis åtgärder från användarens sida. Närmare bestämt när nätfiske-länken följs måste användaren OK nedladdningen och installationen, och det är där som den största säkerhetsåtgärden från den här historien visas.
SER: Google Chrome: Säkerhets- och användargränssnittstips du behöver veta (TechRepublic Premium)
De som använder Android-enheter bör aldrig installera appar från okända källor. Android har kontroller på appnivå som kan förhindra webbläsare från att installera någonting, även om den bästa praxisen är att se till att du inte kan installera appar från någon annanstans än från Google Play Butik. Tyvärr skiljer sig Android-enheter mycket åt i var denna inställning finns. Kontrollera med din tillverkare eller operatör för särskilda steg.
Företag som utfärdar Android-enheter för anställda bör kväva obehöriga appar i sin linda genom att inaktivera appinstallationer från okända källor på MDM-nivå.
Se dessutom till att du och dina användare vet vad nätfiske är och hur man upptäcker nätfiskeattacker som kommer från e-post, sociala medier, texter eller i något annat format.
