La campaña de amenazas móviles rastreada como Mantis itinerante se ha relacionado con una nueva ola de compromisos dirigidos contra los usuarios de teléfonos móviles franceses, meses después de que amplió su orientación para incluir países europeos.
Se dice que no menos de 70.000 dispositivos Android han sido infectados como parte de la operación activa de malware, dijo Sekoia en un informe publicado la semana pasada.
Se sabe que las cadenas de ataque que involucran a Roaming Mantis, un actor de amenazas chino motivado financieramente, implementan un troyano bancario llamado MoqHao (también conocido como XLoader) o redirigen a los usuarios de iPhone a páginas de inicio de recolección de credenciales que imitan la página de inicio de sesión de iCloud.
«MoqHao (también conocido como Wroba, XLoader para Android) es un troyano de acceso remoto (RAT) de Android con capacidades de puerta trasera y robo de información que probablemente se propaga a través de SMS», investigadores de Sekoia dijo.
Todo comienza con un SMS de phishing, una técnica conocida como smishing, que atrae a los usuarios con mensajes temáticos de entrega de paquetes que contienen enlaces falsos, que, cuando se hace clic, proceden a descargar el archivo APK malicioso, pero solo después de determinar si la ubicación de la víctima está en francés. fronteras
Si un destinatario se encuentra fuera de Francia y el sistema operativo del dispositivo no es Android ni iOS, un factor que se determina comprobando la dirección IP y el Agente de usuario cadena: el servidor está diseñado para responder con un «404 No encontrado» código de estado.
«Por lo tanto, la campaña de smishing está geovallada y tiene como objetivo instalar malware de Android o recopilar credenciales de Apple iCloud», señalaron los investigadores.
MoqHao normalmente usa dominios generado a través del servicio de DNS dinámico Duck DNS para su infraestructura de entrega de primera etapa. Además, la aplicación maliciosa se hace pasar por la aplicación del navegador web Chrome para engañar a los usuarios para que le concedan permisos invasivos.
El troyano spyware proporciona una ventana de ruta para la interacción remota con los dispositivos infectados, lo que permite al adversario recopilar sigilosamente datos confidenciales como datos de iCloud, listas de contactos, historial de llamadas, mensajes SMS, entre otros.
Sekoia también evaluó que los datos acumulados podrían usarse para facilitar esquemas de extorsión o incluso venderse a otros actores de amenazas con fines de lucro. «más de 90.000 direcciones IP únicas que solicitaron el servidor C2 que distribuye MoqHao», señalaron los investigadores.