漫游螳螂恶意软件更新攻击方式:目前正危及欧洲
- A
据国外安全资讯网站报道,一款名为Roaming Mantis(漫游螳螂)的安卓恶意软件正在通过钓鱼短信进行分发传播。
漫游螳螂病毒并不算是新型安卓恶意软件,卡巴斯基安全实验室于2018年03月的时候,首次在日本捕获其攻击行为。
当时该病毒针对南亚用户,源代码支持英语、韩语、简体中文和日语环境,受影响用户来自孟加拉国、日本和韩国。
如今时隔四年,漫游螳螂卷土重来,首次将触角伸向法国和德国的受害者,向欧洲用户发送钓鱼短信扩大感染范围。
在最新的攻击活动中,漫游螳螂散步的钓鱼短信中包含一个指向登陆界面的 URL 地址,该地址会根据机型进行跳转。
当有 iPhone 用户访问这个钓鱼短信中包含的 URL 地址时,就会被跳转到一个伪装成苹果官方网站的钓鱼页面上去。
而安卓用户访问这个地址时,通常会被感染一个被称为Wroba.g (或Wroba.o,又名 Moqhao,XLoader)的银行木马。
当然,漫游螳螂背后的黑客组织主要目的是让受害者感染 Wroba 变种,该木马不仅能是间谍软件还能盗取银行信息。
受害者感染 Wroba 变种木马后,它会使用恶意软件强制替换用户设备中的合法应用程序,并窃取银行账户相关凭证。
目前,漫游螳螂的编程语言已迭代更新,从之前的 Java 语言转向了现在的 Kotlin,并且还增加了两个新的后门命令。
更新后的木马病毒可以从受感染设备中窃取照片等资料,再从照片中筛选出驾驶执照、医疗保险卡和银行卡照片等。
于是这些被筛选出来的携带用户重要信息的资料可以帮助犯罪分子通过二维码支付、移动支付服务盗取受害者财产。
如果窃取到的照片中包含受害者隐秘信息,如裸体自拍等,犯罪分子还会利用这些照片向受害者实施敲诈或性骚扰。
目前,漫游螳螂恶意病毒的攻击行为在法国和德国等欧洲国家是非常活跃,因而引起了德国警方和法国媒体的关注。
警方提醒用户务必提防钓鱼短信和伪装成官方网站的钓鱼网站,不要随便点击来源不明的短信中携带的可登录地址。
在笔者看来,对用户设备进行甄别的并自动跳转的方法并不复杂,原理上来说不就是识别用户的浏览器标识(UA)嘛。
