Home IT Sicherheits Updates Roaming Mantis Finanzhacker zielen auf Android- und iPhone-Nutzer in Frankreich ab

Roaming Mantis Finanzhacker zielen auf Android- und iPhone-Nutzer in Frankreich ab

by nwna_de

Die mobile Bedrohungskampagne wurde verfolgt als Wandernde Gottesanbeterin wurde mit einer neuen Welle von Kompromittierungen in Verbindung gebracht, die sich gegen französische Mobiltelefonnutzer richteten, Monate nachdem sie ihre Ausrichtung auf europäische Länder ausgeweitet hatte.

Nicht weniger als 70.000 Android-Geräte sollen im Rahmen der aktiven Malware-Operation infiziert worden sein, teilte Sekoia in einem letzte Woche veröffentlichten Bericht mit.

Angriffsketten mit Roaming Mantis, einem finanziell motivierten chinesischen Bedrohungsakteur, setzen bekanntermaßen entweder einen Banking-Trojaner namens MoqHao (alias XLoader) ein oder leiten iPhone-Benutzer auf Zielseiten zum Sammeln von Anmeldeinformationen um, die die iCloud-Anmeldeseite nachahmen.

Internet-Sicherheit

„MoqHao (alias Wroba, XLoader für Android) ist ein Android-Fernzugriffstrojaner (RAT) mit Informationen stehlenden und Backdoor-Fähigkeiten, der sich wahrscheinlich per SMS verbreitet“, so Sekoia-Forscher sagte.

Roaming-Mantis-Malware

Alles beginnt mit einer Phishing-SMS, einer Technik, die als Smishing bekannt ist und Benutzer mit Nachrichten zum Thema Paketzustellung mit betrügerischen Links verführt, die, wenn sie angeklickt werden, mit dem Herunterladen der bösartigen APK-Datei fortfahren, aber erst nachdem festgestellt wurde, ob sich der Standort eines Opfers in Französisch befindet Grenzen.

Roaming-Mantis-Malware

Sollte sich ein Empfänger außerhalb Frankreichs befinden und das Betriebssystem des Geräts weder Android noch iOS sein – ein Faktor, der durch Überprüfung der IP-Adresse und der User-Agent string – der Server ist so konzipiert, dass er mit einem „404 Nicht gefunden” Statuscode.

Internet-Sicherheit

„Die Smishing-Kampagne ist daher geofenced und zielt darauf ab, Android-Malware zu installieren oder Apple iCloud-Anmeldeinformationen zu sammeln“, betonten die Forscher.

MoqHao verwendet normalerweise Domänen generiert über den dynamischen DNS-Dienst Duck DNS für seine Bereitstellungsinfrastruktur der ersten Stufe. Darüber hinaus tarnt sich die bösartige App als die Chrome-Webbrowser-Anwendung, um Benutzer dazu zu bringen, ihr invasive Berechtigungen zu erteilen.

Der Spyware-Trojaner bietet ein Pfadfenster für die Remote-Interaktion mit den infizierten Geräten, wodurch der Angreifer heimlich vertrauliche Daten wie iCloud-Daten, Kontaktlisten, Anruflisten, SMS-Nachrichten und andere sammeln kann.

Sekoia schätzte auch ein, dass die gesammelten Daten verwendet werden könnten, um Erpressungssysteme zu erleichtern oder sogar mit Gewinn an andere Bedrohungsakteure verkauft werden könnten. „Mehr als 90.000 eindeutige IP-Adressen, die den C2-Server angefordert haben, verteilen MoqHao“, stellten die Forscher fest.

Via HN