Almanya, Tayvan, Güney Kore, Japonya, ABD ve İngiltere'de dolaştıktan sonra, dolaşım Mantis operasyonuna Fransa'daki Android ve iOS kullanıcılarını hedefleyen ve muhtemelen on binlerce cihazdan ödün verdiler.
Roaming Mantis'in Şubat ayında Avrupalı kullanıcıları hedeflemeye başlayan finansal olarak motive edilmiş bir tehdit aktörü olduğuna inanılıyor.
Yakın zamanda gözlenen bir kampanyada, tehdit oyuncusu, kullanıcıları Android cihazlarında kötü amaçlı yazılım indirmeleri için SMS iletişimi kullanıyor. Potansiyel kurban iOS kullanıyorsa, Apple kimlik bilgileri için bir kimlik avı sayfasına yönlendirilir.
Bugün yayınlanan bir raporda, Cybersecurity Company Sekoia'daki araştırmacılar, Roaming Mantis Group'un artık uzaktan erişim, bilgi çalma ve SMS spamlama gibi özellikleri sayan güçlü bir kötü amaçlı yazılım olan Xloader (Moqhao) yükü olan Android cihazlarına düştüğünü söylüyor.
Devam eden dolaşım Mantis kampanyası Fransız kullanıcıları hedefliyor ve aday kurbanlara gönderilen bir SMS ile başlayarak URL'yi takip etmeye çağırıyor.
Metin mesajı, kendilerine gönderilen ve sunumunu gözden geçirmeleri ve düzenlemeleri gereken bir paket hakkında bilgilendirir.
Kullanıcı Fransa'da bulunuyorsa ve bir iOS cihazı kullanıyorsa, Apple kimlik bilgilerini çalan bir kimlik avı sayfasına yönlendirilir. Android kullanıcıları, bir mobil uygulama (bir Android Paket Kiti - APK) için yükleme dosyasını veren bir siteye işaret ediyor.
Fransa'nın dışındaki kullanıcılar için Mantis sunucuları 404 hatası gösterir ve saldırı durur.
APK, SMS müdahalesi, telefon görüşmeleri yapma, depolama ve yazma, sistem uyarıları, hesap listesi alma ve daha fazlası gibi riskli izinler talep eden bir krom kurulumu yürütür ve taklit eder.
Komut ve Kontrol (C2) yapılandırması, tespitten kaçınmak için Base64'te kodlanan sert kodlanmış Imgur profil hedeflerinden alınır.
Sekoia, şimdiye kadar ana C2 sunucusundan 90.000'den fazla benzersiz IP adresinin Xloader talep ettiğini doğruladı, bu nedenle kurban havuzu önemli olabilir.
Roaming Mantis Kimlik Yardım sayfasında Apple iCloud kimlik bilgilerini teslim eden iOS kullanıcılarının sayısı bilinmiyor ve aynı veya daha yüksek olabilir.
Sekoia’nın analistleri, Mantis dolaşımının altyapısının geçen Nisan ayında Cymru takımından son analizinden bu yana çok fazla değişmediğini bildirdi.
Sunucular hala TCP/443, TCP/5985, TCP/10081 ve TCP/47001'de açık bağlantı noktalarına sahiptir, ancak Nisan ayında görülen aynı sertifikalar hala kullanılmaktadır.
Raporda Sekoia, “SMS mesajlarının içinde kullanılan alanlar ya GodAddy'ye kayıtlı veya Duckdns.org gibi dinamik DNS hizmetlerini kullanıyor” diye açıklıyor.
İzinsiz giriş seti yüzün üzerinde alt alan kullanır ve düzinelerce FQDN her IP adresini çözer.
İlginç bir şekilde, Sminging (SMS kimlik avı) operasyonu, Xloader tarafından kullanılanlardan ayrı C2 sunucularına dayanır ve analistler Ehostidc ve Velianet otonom sistemlerinde barındırılanların dokuzunu tanımlayabilirler.
Mevcut dolaşım Mantis işlemi için uzlaşma göstergelerinin tam bir listesi için bu GitHub sayfasına göz atın.
Flubot Android Kötü Yazılım Operasyonu Kolluk Kuvvetleri tarafından Kapanma
Rus hackerlar Ukraynalı aktivistlere enfekte etmek için sahte DDOS uygulaması kullanıyor
Google Play'de bulunan 300K yüklemeli kötü amaçlı Android uygulamaları
Google Play'de Yeni Android Kötü Yazılım 3 milyon kez yüklendi
Android Kötü Yazılım ‘Revive’, BBVA Bank’ın 2FA uygulamasını taklit ediyor
Kaynak: Bleeping Computer