安基网 首页 资讯 安全报 查看内容

Roaming Mantis攻击活动再升级,幕后黑客动用了新型恶意软件

2020-3-2 16:35| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 在2018年4月份,卡巴斯基实验室公开披露了一场代号为“Roaming Mantis(漫步螳螂)”的恶意网络攻击活动,受害者主要是日本、韩国、中国、印度和孟加拉国的Android用户。在这场活动中,攻击者使用了一种名为“DNS劫持”的攻击技术来将连接到受感染路由器的受害者重定向到恶意网站,进而诱使受害者下载 ...


在2018年4月份,卡巴斯基实验室公开披露了一场代号为“Roaming Mantis(漫步螳螂)”的恶意网络攻击活动,受害者主要是日本、韩国、中国、印度和孟加拉国的Android用户。

在这场活动中,攻击者使用了一种名为“DNS劫持”的攻击技术来将连接到受感染路由器的受害者重定向到恶意网站,进而诱使受害者下载恶意APP,最终目的是获取受害者的敏感信息(包括各种用户名和密码)。

仅在一个月之后,攻击者就扩大了攻击范围——恶意网页的HTML源代码从最初支持的英语、韩语、简体中文和日语四种语言扩展到了包括俄语、德语、意大利语等在内的27种语言。此外,攻击目标也不再单是Android用户,还包括了iOS用户和PC用户:

  • 针对Android用户-与之前一样,恶意网站被用于向受害者提供恶意APP;
  • 针对iOS用户-恶意网站被用于网络钓鱼;
  • 针对PC用户-将受害者重定向到嵌有加密货币挖矿脚本的恶意网站。

就在上周,卡巴斯基实验室再一次公布了他们有关Roaming Mantis活动的最新调查结果。调查显示,此活动背后的攻击者已经改进了他们的攻击方法,尤其是在恶意软件的逃杀方面,如目标白名单、环境检测等。

此外,攻击者还动用了新的恶意软件——Fakecop(也被网络安全公司McAfee称为“SpyAgent”)和Wroba.j(也被网络安全公司Fortinet称为“Funkybot”)。

Wroba.g开始通过钓鱼短信传播

除在2018年使用的DNS劫持之外,攻击者在近期的行动中还为其主要恶意软件Wroba.g(又名“Moqhao”和“XLoader”)新增了一种传播方法,即SMiShing(短信钓鱼)。

钓鱼短信所携带的恶意链接旨在诱使受害者下载恶意APP,而这些APP大都使用了一些大型快递公司的图标,如日本的Sagawa Express、中国台湾的Yamato Transport和FedEx、韩国的CJ Logistics以及俄罗斯的Econt Express。

图1.钓鱼短信示例

日本网络犯罪控制中心(Japan Cybercrime Control Center,JC3)的警告,攻击者已于2020年2月将钓鱼短信切换为与“新型冠状病毒”相关的内容。这也再一次证实,网络犯罪分子普遍喜欢利用热门话题。

Wroba.g新增白名单功能

当受害者访问钓鱼网站登录页面时,必须输入电话号码后才能进行登录。只有当电话号码位于白名单中,受害者才会收到下载恶意APP安装文件的提示。

图2.“高仿”CJ Logistics登录页面

根据卡巴斯基实验室的说法,这是为了避免安全研究人员拿到恶意APP样本(只有电话号码位于白名单中的人才会收到恶意APP安装文件)。需要指出的是,目前这种情况仅出现在韩语页面上。

Wroba.g加载程序模块新增Multidex混淆技巧

众所周知,Multidex允许应用程序构建成和读取多个DEX文件。作为一种混淆技巧,攻击者在恶意APP安装文件中使用了Multidex来隐藏一个恶意加载程序模块。

图3.随时间不断被改进的Multidex混淆技巧

位于红框中的DEX文件即是恶意加载程序模块,其他DEX文件均是垃圾代码。

Wroba.g正瞄准手机营业厅和手机银行APP用户

当恶意软件在受感染设备上检测到特定的日本手机银行软件包或特定的移动运营商手机营业厅软件包时,它将在后台连接到一个硬编码的pinterest.com帐户,以获取带有警告信息的钓鱼网站链接。

该消息声称它已阻止来自第三方的未授权访问,并要求受害者单击一个按钮以确认他们选择继续操作。如果受害者单击该按钮,则将被重定向到钓鱼网站:

图4.硬编码的pkg名称、pinterest.com链接和虚假警告信息

图5. 通过恶意pinterest.com帐户重定向到钓鱼网站

在2019年被发现的Wroba.j和Fakecop

此前,Wroba.g和Wroba.f一直被用作Wroba.g和Wroba.f活动的主要恶意软件。在2019年4月,Wroba.j和Fakecop开始现身。

其中,Wroba.j具有检查国际移动用户识别码(IMSI)的能力,以确保垃圾短信只会发送给特定的受害者(目前仅针对了日本电信运营商Docomo和Softbank)。

图6.检查电信运营商Docomo的IMSI

结语

显而易见,Roaming Mantis活动背后的攻击者具有极强的经济目的,且一直在为逃避安全研究人员的追踪而努力。以SMiShing的形式传播,也就意味着攻击者可以将所有受感染设备组成一个僵尸网络,以实现恶意软件的更大范围传播。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6798808817095148036/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部