حمله هکر‌ها با استفاده از بدافزار Roaming Mantis به کاربران اندروید

اجتماعی حوادث و انتظامی

نظر دادن

دانلود PDF

محققان امنیت سایبری می‌گویند عملیات Roaming Mantis کاربران ios و اندرویدی را در کشور‌های مختلف مورد حمله قرار داده است.

محققان امنیت سایبری می‌گویند عملیات Roaming Mantis پس از حمله به کاربران در کشور‌های زیر، اکنون با دستگاه‌های اندروید و iOS به کاربران فرانسه حمله کرده است.

آلمان، تایوان، کره جنوبی، ژاپن، ایالات متحده آمریکا و انگلستانRoaming Mantis از اوایل فوریه، کاربران اروپایی مختلفی را هدف قرار داده است. در نتیجه عملیاتی که هدف آن سرقت داده‌های حساس و احتمالاً حتی پول از قربانیان خود است.

پس از تجزیه و تحلیل کمپین، محققان دریافتند که روش‌شناسی تغییر چندانی نکرده است. قربانیان ابتدا یک پیامک دریافت می‌کنند و بسته به اینکه کاربر iOS یا اندروید باشند، به سایت‌های مختلف هدایت می‌شوند.

کاربران اپل به یک صفحه فیشینگ هدایت شده که در آن مهاجمان سعی می‌کنند آن‌ها را فریب دهند تا اعتبار خود را ارائه دهند، در حالی که از کاربران اندروید دعوت می‌شود تا XLoader ‪ (MoqHao) ‬ را دانلود کنند، بدافزار قدرتمندی که به عوامل تهدید امکان دسترسی از راه دور به نقطه پایانی در معرض خطر را می‌دهد.

این احتمال وجود دارد که حدود ۷۰ هزار دستگاه اندرویدی در طول این کمپین در معرض خطر قرار گرفته باشند که به طور گسترده فرانسه را تحت تأثیر قرار می‌دهد.

Roaming Mantis Drops XLoader

یک بسته جدید به نام XLoader ‪ (MoqHao) ‬ توسط گروه Roaming Mantis بر روی دستگاه‌های اندرویدی فرستاده می‌شود. این بدافزار به عنوان یکی از قوی‌ترین بدافزار‌ها به حساب می‌آید، زیرا دارای چندین ویژگی جالب مانند دسترسی از راه دور به میزبان، سرقت اطلاعات و پیام‌های اس ام اس اسپم از تلفن یا رایانه قربانی است.

کاربران فرانسوی هدف کمپین Roaming Mantis هستند که در حال حاضر ادامه دارد. به محض شروع حمله، به قربانیان یک پیام متنی با URL ارسال می‌شود که مستلزم دنبال کردن یک پیوند خاص است. برای بررسی و هماهنگی تحویل بسته‌ای که دریافت کرده‌اند از طریق پیامک به آن‌ها اطلاع داده می‌شود.

کاربر اپلی اگر در فرانسه باشد به یک صفحه فیشینگ هدایت می‌شود.

کاربر Android به وب‌سایتی هدایت می‌شود که حاوی فایل نصب یک برنامه تلفن همراه است که برای دانلود در دسترس است. دریافت خطای ۴۰۴ از سرور‌های Roaming Mantis نشانه پایان یافتن این حمله برای مشتریان خارج از فرانسه است.

مجوز‌های زیر درخواست شده و مورد بهره برداری قرار می‌گیرد:
• رهگیری پیامک
• برقراری تماس‌های تلفنی
• ذخیره‌سازی خواندن
• ذخیره‌سازی نوشتن
• رسیدگی به اعلان‌های سیستم
• دسترسی به لیست حساب‌ها

علاوه بر این، XLoader توسط بیش از ۹۰۰۰۰ آدرس IP منحصر به فرد از سرور اصلی C۲ درخواست شده است. از آخرین باری که Roaming Mantis تجزیه و تحلیل شد، تغییرات کمی در زیرساخت آن ایجاد شده است.

منبع: gbhackers

باشگاه خبرنگاران جوان اجتماعی حوادث و انتظامی