Dolaşım Mantis SMS Kimlik Avı Kampanyası nihayet Avrupa'ya ulaştı, çünkü araştırmacılar Almanya ve Fransa'daki Android ve İPhone kullanıcılarını kötü amaçlı uygulamalar ve Fransa'da kötü amaçlı uygulamalar ve kimlik avı sayfalarıyla hedef alan kampanyaları tespit etti.
Dolaşım Mantis, Kötü Amaçlı Android uygulamalarını Google Play Store'un dışındaki bağımsız APK dosyaları olarak dağıtmak için SMS Kimlik Avı (Gülme) kullanan kimlik dışı bir hırsızlık ve kötü amaçlı yazılım dağıtım kampanyasıdır.
Son dört yılda, kampanya sürekli evrim altına girmiştir ve ilk olarak 2018'de, Japonya'daki Android akıllı telefon kullanıcılarını DNS hack aracılığıyla hedef alıyordu.
Daha sonra, IOS kullanıcılarını kimlik bilgisi hırsızlığı için kimlik avı sayfalarıyla hedeflemek için gelişti ve hedeflenen ülkeleri Tayvan ve Kore'yi içerecek şekilde genişletti.
En son formunda, dolaşım Mantis, 'Wroba' adında bir Trojan kullanıyor ve Fransa ve Almanya'daki kullanıcıları gevşemiş mesajlar ve iniş sayfaları ile ilgili meşru web sitelerinde hedef alıyor.
WRABA'nın amacı, e-bankacılık ayrıntılarını çalmaktır ve diğer benzer truva atları gibi, enfekte cihazın kişilerindeki insanlara SMS kimlik avı metinlerini kullanarak otomatik olarak yayılır.
Enfeksiyon zinciri, hedef cihazdaki bir SMS metninin varışıyla başlar;
.
URL bir Apple cihazından tıklanırsa, kurbanı kullanıcının Apple oturum açma kimlik bilgilerini çalmaya çalıştığı bir kimlik avı sayfasına yönlendirir.
Bununla birlikte, mağdur bir Android cihazı kullanıyorsa, onları Android uygulaması olarak gizlenmiş kötü amaçlı yazılımları kurmalarını isteyen bir açılış sayfasına götürülürler.
Wroba'yı içeren kimliğe bürünmüş uygulamalar ağırlıklı olarak Google Chrome içindir, aynı zamanda Yamato taşımacılığını ve EPOST uygulamalarını taklit eder.
Aşağıda, 2021'de tek bir günden itibaren indirme istatistikleri, Avrupa'da on binlerce kötü niyetli APK indirme işlemini sayıyor.
Geçmiş varyantlarla karşılaştırıldığında, WRGBA yükleyici ve yükleme yükü gelişti ve şimdi Java ile birlikte mükemmel birlikte çalışabilirliğe sahip bir dilde Kotlin'de yazılmıştır.
Backdoor, son kampanyalara iki yenisi eklenmiş olan saldırılar tarafından yürütülebilen 21 kötü amaçlı komut içerir. Bu yeni komutlar "GET_GALLY" ve "GET_PHOTO" ve mağdurun fotoğraflarını ve videolarını çalmak ve onları saldırganın sunucularına yüklemek içindir.
Kaspersky, tehdit aktörlerinin, hassas medya çalındığında, finansal dolandırıcılık, kimlik hırsızlığı, şantaj ve gasp için bu iki yeni komutun eklenmesini kullanabileceğini açıklar.
Kaspersky, "Bir olası senaryo, suçluların, sürücü lisansları, sağlık sigortası kartları veya banka kartları gibi şeylerden, QR Kodu Ödeme Hizmetleri veya Mobil Ödeme Hizmetleri ile sözleşmelere kaydolmak için bu tür şeylerden detaylar çalmasıdır" dedi.
"Suçlular, şantaj veya sextrortion gibi diğer şekillerde para almak için çalınan fotoğrafları da kullanabiliyorlar."
Dolaşım Mantis ve diğer Android kötü amaçlı yazılımını cihazınızı enfekte etmekten engellemek için, her zaman olağandışı kaynaklardan gelen apks indirmeyi önlemelisiniz ve asla bilinmeyen kaynaklardan paketlerin kurulmasına izin vermemelisiniz.
Son olarak, güvenilir bir satıcıdan bir Android Internet güvenlik aracı, analistler bu kampanyaları aktif olarak takip ettiğinden, onları ziyaret ettikten sonra bu URL'leri işaretlemeye yardımcı olabilir.
Medusa Kötü Amaçlı Yazılım Rampaları Yukarı Android SMS Kimlik Avı Saldırıları
Flubot malware şimdi Avrupa'yı Flash Player uygulaması olarak poz veriyor
KOES Bankacılığı Truva Hitreleri Kötü Amaçlı Uzantıları ile Chrome Kaçakları
Android Bankacılık Trojan Sahte Google Play Store sayfası ile yayılır
Anubis Android Malware 394 finansal uygulamaları hedefe geri döndü
Kaynak: Bleeping Computer