在襲擊德國、臺灣、韓國、日本、美國和英國之后，Roaming Mantis將轉(zhuǎn)向法國，并針對法國Android和iOS用戶發(fā)起攻擊，這次攻擊可能會危及數(shù)萬臺設(shè)備。Roaming Mantis被認(rèn)為是一個出于經(jīng)濟動機的威脅行為者，早在2月時，就曾針對歐洲用戶發(fā)起過攻擊。在最近觀察到的一次網(wǎng)絡(luò)攻擊活動中，該攻擊者被發(fā)現(xiàn)使用SMS通信來引誘用戶在其 Android 設(shè)備上下載惡意軟件，如果用戶使用 iOS，他們將被重定向到 Apple 憑據(jù)的網(wǎng)絡(luò)釣魚頁面。

在近期發(fā)布的一份報告中，網(wǎng)絡(luò)安全公司SEKOIA的研究人員表示，Roaming Mantis現(xiàn)在正在Android設(shè)備上投放XLoader (MoqHao) 有效荷載，這是一種強大的惡意軟件，可以計算遠(yuǎn)程訪問、信息竊取和短信垃圾郵件等功能。正在進(jìn)行的Roaming Mantis活動以法國用戶為目標(biāo)，他們向潛在受害者發(fā)送短信，并引誘用戶點擊鏈接。用戶會收到一條短信，告知他們已經(jīng)收到了一個包裹，他們需要檢查并安排送貨。

如果用戶位于法國并且使用iOS設(shè)備，他們將被定向到竊取Apple憑據(jù)的網(wǎng)絡(luò)釣魚頁面。Android用戶則被指向一個提供移動應(yīng)用程序安裝文件的站點（Android Package Kit - APK）。但對于法國以外的用戶，Roaming Mantis的服務(wù)器顯示404 錯誤并且攻擊停止。

在攻擊中，APK執(zhí)行并模仿Chrome安裝，并請求風(fēng)險權(quán)限，例如短信攔截、撥打電話、讀寫存儲、處理系統(tǒng)警報、獲取帳戶列表等。命令和控制 (C2) 配置是從硬編碼的Imgur配置文件目標(biāo)中檢索的，這些攻擊以base64編碼以逃避檢測。

SEKOIA證實，到目前為止，有超過90000個唯一的IP地址從C2主服務(wù)器請求XLoader。 截至目前，其表示在Roaming Mantis 網(wǎng)絡(luò)釣魚頁面上提交Apple iCloud憑據(jù)的iOS用戶數(shù)量未知，有可能比預(yù)期的更高。

網(wǎng)絡(luò)釣魚頁面

SEKOIA的分析師報告稱，自去年4月Cymru團隊的最后一次分析以來，Roaming Mantis的基礎(chǔ)設(shè)施并沒有太大變化，這些服務(wù)器在TCP/443、TCP/5985、TCP/10081 和 TCP/47001上仍然有開放端口，而4月份看到他們?nèi)栽谑褂孟嗤淖C書，他們在SMS消息中使用的域名要么是在Godaddy注冊的，要么使用動態(tài)DNS服務(wù)，例如duckdns.org，而入侵集合使用了一百多個子域名，每個IP地址都有幾十個FQDN解析。有趣的是，Roaming Mantis的短信釣魚(SMS phishing)活動依賴獨立于XLoader使用的C2服務(wù)器，分析人員可以識別出其中9個托管在EHOSTIDC和VELIANET系統(tǒng)上的活動。

參考來源：https://www.bleepingcomputer.com/news/security/roaming-mantis-hits-android-and-ios-users-in-malware-phishing-attacks/