【安全资讯】Roaming Mantis使用新型恶意软件SmsSpy针对日本Android用户

猎影实验室 2021-05-07 06:44:32 1901人浏览

自2021年1月以来,研究团队发现Roaming Mantis组织使用一种名为SmsSpy的新恶意软件针对日本用户。恶意代码会根据目标设备使用不同的操作系统版本,通过两种变体之一来感染Android用户。这种基于OS版本下载恶意有效负载的能力使攻击者能够感染更多的Android设备。


自2018年以来,Roaming Mantis组织一直冒充物流公司从亚洲Android用户那里窃取SMS信息和联系人列表。2020年下半年,该活动通过采用动态DNS服务传播带有受感染网络钓鱼URL的消息来提高其有效性。


恶意软件分发平台根据访问网络钓鱼页面的Android OS版本,分发不同的恶意软件。在Android OS10或更高版本上,将下载伪造的Google Play应用。在Android9或更低版本的设备上,将下载伪造的Chrome应用。下图为Android OS 9或更低版本设备收到的供下载的伪造的Chrome应用,对话框中的日语消息为“请更新至最新版本的Chrome,以提高安全性!”


下图为Android OS 10或更高版本设备收到的要下载的伪造Google Play应用,对话框中的日语消息为“ 请更新至最新版本的Google Play,以提高安全性!”


该恶意软件的主要目的是从受感染的设备中窃取电话号码和SMS消息。运行后,该恶意软件假装为Chrome或Google Play应用,然后请求默认的消息传递应用程序读取受害者的联系人和SMS消息。它冒充Google Play在最新的Android设备上提供的安全服务。


隐藏其图标后,恶意软件会建立WebSocket连接,以在后台与攻击者C2服务器进行通信。默认目标地址嵌入在恶意软件代码中。它还具有链接信息,如果未检测到默认服务器,或者没有从默认服务器收到响应,则从更新链接获取C2服务器位置。


恶意软件支持以下命令,目的是窃取“联系人”和SMS消息中的电话号码。

命令字串                  描述
通讯录                     将整个通讯录发送到服务器
收件箱                     发送所有短信到服务器
拦截短信&open      开始<删除短信>
拦截短信&close      停止<删除短信>
发短信&                  命令数据包含SMS消息和目标号码,通过受感染的设备发送


结论

研究人员认为,攻击者正在使用不同的移动恶意软件针对亚洲国家进行诈骗活动,例如MoqHao,SpyAgent和FakeSpy。这次发现的新型恶意软件使用了经过修改的基础架构和有效负载。研究人员认为,网络罪犯中可能有几个小组,每个小组正在分别开发其攻击基础结构和恶意软件。

失陷指标(IOC)62
日本 Roaming Mantis 信息窃取 Android 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。