卡巴斯基實(shí)驗(yàn)室的研究人員觀察到Roaming Mantis最近出現(xiàn)的一些新活動(dòng)，以及主要用于此活動(dòng)的 Android 木馬 Wroba.g(或 Wroba.o，又名 Moqhao，XLoader)的一些變化。此外，他們發(fā)現(xiàn)除了日本、韓國(guó)之外，法國(guó)和德國(guó)也成了攻擊目標(biāo)。

對(duì)Roaming Mantis的最新研究表明，該攻擊組織正專(zhuān)注于通過(guò)向歐洲用戶(hù)發(fā)送短信來(lái)擴(kuò)大感染。法國(guó)和德國(guó)的活動(dòng)非常活躍，甚至引起了德國(guó)警方和法國(guó)媒體的注意。他們提醒用戶(hù)注意發(fā)送消息和用作登錄頁(yè)面的受感染網(wǎng)站。

德國(guó)和法國(guó)網(wǎng)站上的smishing警報(bào)

通常情況下，smishing(所謂的smishing，就是SMS短信和網(wǎng)絡(luò)釣魚(yú)術(shù)語(yǔ)的組合)信息包含一個(gè)非常簡(jiǎn)短的描述和一個(gè)登陸頁(yè)面的URL。如果用戶(hù)點(diǎn)擊該鏈接并打開(kāi)登錄頁(yè)面，會(huì)出現(xiàn)兩種情況：iOS 用戶(hù)被重定向到模仿蘋(píng)果官方網(wǎng)站的網(wǎng)絡(luò)釣魚(yú)頁(yè)面，而 Wroba 惡意軟件被下載到 Android 設(shè)備上。

來(lái)自 smishing 消息的鏈接重定向到 Wroba 或網(wǎng)絡(luò)釣魚(yú)頁(yè)面

根據(jù)我們?cè)?2021 年 7 月至 2022 年 1 月期間收集的監(jiān)測(cè)數(shù)據(jù)，已在許多地區(qū)檢測(cè)到 Wroba.g 和 Wroba.o。受影響最嚴(yán)重的國(guó)家是法國(guó)、日本、印度、中國(guó)、德國(guó)和韓國(guó)。

受 Trojan-Dropper.AndroidOS.Wroba.g 和 Trojan-Dropper.AndroidOS.Wroba.o 影響的地區(qū)

另外還有一些非常有趣的關(guān)于 Roaming Mantis 登陸頁(yè)面統(tǒng)計(jì)的數(shù)據(jù)，這些數(shù)據(jù)是由日本獨(dú)立安全專(zhuān)家 @ninoseki 在 2021 年互聯(lián)網(wǎng)周和 Github 上發(fā)布的。數(shù)據(jù)顯示了在 2021 年 9 月的特定日期，Roaming Mantis使用 Wroba.g/Wroba.o 的七個(gè)目標(biāo)區(qū)域中下載的 APK 文件、登錄頁(yè)面域和 IP 地址的數(shù)量。

下載的APK文件數(shù)量和登陸頁(yè)面的IP/域

下表是根據(jù) APK 文件下載次數(shù)的排名。受影響最嚴(yán)重的國(guó)家是法國(guó)，其次是日本、德國(guó)等。5

登陸頁(yè)面中的反分析技巧

在整個(gè) 2020 年和 2021 年期間，Roaming Mantis 背后的犯罪集團(tuán)在登錄頁(yè)面腳本中使用了各種混淆技術(shù)，以逃避檢測(cè)。

登陸頁(yè)面腳本中使用的各種混淆技術(shù)

除了使用混淆技術(shù)之外，登錄頁(yè)面還會(huì)在非目標(biāo)區(qū)域阻止來(lái)自源 IP 地址的連接，并僅顯示這些連接的虛假“404”頁(yè)面。

自2019年以來(lái)，登陸頁(yè)面的用戶(hù)代理檢查功能一直沒(méi)有改變，它通過(guò)用戶(hù)代理對(duì)設(shè)備進(jìn)行評(píng)估，如果設(shè)備是ios系統(tǒng)，則重定向到釣魚(yú)頁(yè)面，如果設(shè)備是android系統(tǒng)，則發(fā)送惡意APK文件。

技術(shù)分析：Wroba.g/Wroba.o的loader模塊

研究人員以 kuronekoyamato.apk 為例，對(duì) Wroba.g/Wroba.o 樣本進(jìn)行了深入分析，并觀察到了加載程序模塊和有效載荷中的一些修改。首先，攻擊者將編程語(yǔ)言從 Java 更改為 Kotlin，這是一種旨在與 Java 完全互操作的編程語(yǔ)言。然后，攻擊者刪除了 multidex 混淆技巧。取而代之的是，嵌入有效載荷 (\assets\rmocpdx\15k7a5q) 的數(shù)據(jù)結(jié)構(gòu)也被修改如下：

嵌入式有效載荷的修改數(shù)據(jù)結(jié)構(gòu)

數(shù)據(jù)的前 8 個(gè)字節(jié)是垃圾代碼(灰色)，然后是有效載荷的大小(橙色)、單字節(jié)異或密鑰(紅色)、加密的有效載荷(綠色)和更多的垃圾代碼(灰色)。此外，在 APK 文件中嵌入了一個(gè) ELF 文件 \lib\armeaib-v7a\libdf.so：它使用 Java 原生接口 (JNI) 作為第二階段的有效載荷，用于解密和加載功能的一部分。解密過(guò)程和算法只需以下三個(gè)步驟：

登陸頁(yè)面腳本中的各種混淆技術(shù)

首先，加載器函數(shù)從嵌入的數(shù)據(jù)中取出除垃圾數(shù)據(jù)之外的每一部分?jǐn)?shù)據(jù)。然后，使用嵌入的XOR密鑰對(duì)加密的載荷進(jìn)行XOR。在XOR操作之后，與前面的示例一樣，使用zlib解壓數(shù)據(jù)以提取有效載荷Dalvik可執(zhí)行文件(DEX)。

以下簡(jiǎn)單的 Python 腳本有助于提取有效載荷：

在此示例中，解密的有效載荷保存為 \data\data\ggk.onulfc.jb.utxdtt.bk\files\d 并執(zhí)行以感染受害者設(shè)備上的惡意主模塊。

技術(shù)分析：Wroba.g/Wroba.o 的有效載荷

關(guān)于 Wroba.g/Wroba.o 有效載荷的更新，卡巴斯基專(zhuān)家僅觀察到有效載荷部分的兩個(gè)微小的更新。其中之一是檢查受感染設(shè)備的區(qū)域以便以相應(yīng)語(yǔ)言顯示網(wǎng)絡(luò)釣魚(yú)頁(yè)面的功能。如上圖所示，很明顯德國(guó)和法國(guó)已經(jīng)成為Wroba.g/Wroba.oRoaming Mantis的主要目標(biāo)。

另一個(gè)修改是在后門(mén)命令中，開(kāi)發(fā)人員添加了兩個(gè)后門(mén)命令——“get_photo”和“get_gallery”，并刪除了命令“show_fs_float_window”?？偟膩?lái)說(shuō)，有21個(gè)嵌入式后門(mén)命令。

帶有兩個(gè)新命令“get_gallery”和“get_photo”的嵌入式后門(mén)命令列表

添加這些新的后門(mén)命令是為了從受感染的設(shè)備竊取圖庫(kù)和照片，這表明攻擊者有兩個(gè)目的。一種可能的情況是，攻擊者竊取諸如駕照、健康保險(xiǎn)卡或銀行卡等信息，以簽署二維碼支付服務(wù)或移動(dòng)支付服務(wù)合同。攻擊者還可以用竊取的照片以其他方式獲取錢(qián)財(cái)，比如敲詐勒索。載荷的其他功能不變。

總結(jié)

自從卡巴斯基第一次觀察Roaming Mantis活動(dòng)以來(lái)，已經(jīng)過(guò)去了將近四年。此后，該犯罪組織利用HEUR:Trojan-Dropper.AndroidOS.Wroba等各種惡意軟件家族，以及網(wǎng)絡(luò)釣魚(yú)、挖礦、網(wǎng)絡(luò)釣魚(yú)和DNS感染等各種攻擊手段，繼續(xù)進(jìn)行攻擊活動(dòng)。此外，該集團(tuán)現(xiàn)在已經(jīng)擴(kuò)大了其攻擊范圍，在其主要目標(biāo)地區(qū)增加了兩個(gè)歐洲地區(qū)國(guó)家。

本文翻譯自：https://securelist.com/roaming-mantis-reaches-europe/105596/如若轉(zhuǎn)載，請(qǐng)注明原文地址。