Android malware Roaming Mantis útočí na evropské uživatele
Android malware Roaming Mantis se zaměřuje na uživatele Android a iPhone v Německu a Francii pomocí malwaru a phishingových útoků, varují výzkumníci.
Připomenu vám to Roaming Mantis byl objeven Analytici potvrdili, že ransomware je skutečný 2018. Zpočátku, napadl uživatele z Japonska, Korea, Čína, Indie a Bangladéš, ale pak „mluvil“ dalšími dvěma tucty jazyků a začal se rychle šířit do dalších zemí.
Malware používal kompromitované routery k infikování chytrých telefonů a tabletů Android, přesměrovala zařízení iOS na phishingové stránky, a spuštěna CoinHive těžební skripty na stolních počítačích a noteboocích. Za tohle všechno, the Únos DNS byla použita technika – DNS spoofing, proto nebyly útoky často okamžitě detekovány.
Nyní, se také šíří malware SMS phishing (někdy označované jako „smishing“), pomocí kterého hackeři propagují škodlivé aplikace pro Android jako samostatné soubory APK, to je, ne z Google Obchod Play.
Podle na Kaspersky Lab, nové verze Roaming Mantis používají Wroba Trojan a cílí především na uživatele z Francie a Německa, rozesílání škodlivých SMS a odkazů na infikované stránky. Účelem Wroba je ukrást informace o elektronickém bankovnictví oběti, a je automaticky distribuován prostřednictvím SMS zpráv do celého seznamu kontaktů infikovaného zařízení.
Kliknutím na odkaz z takové SMS, pokud byla adresa URL otevřena z všechny příkazy se provádějí stejným způsobem přístroj, přesměruje oběť na phishingovou stránku, kde se hackeři pokusí ukrást uživateli přihlašovací údaje Apple. Pokud oběť používá zařízení Android, jsou přesměrováni na jinou vstupní stránku, která nabízí instalaci malwaru maskovaného jako aplikace pro Android. Malware se obvykle maskuje jako Google Chrome nebo aplikace Yamato a ePOST.
Níže jsou uvedeny statistiky stažení malwaru za pouhý jeden den v září 2021, to je, mluvíme o desítkách tisíc stažení APK v evropských zemích.
V porovnání s předchozími verzemi, Wrogba prošel změnami a je nyní psán v Kotlinu. Dohromady, malware se může spustit 21 škodlivé příkazy, včetně dvou nových: get_gallery
a get_photo
, které jsou určeny ke krádeži fotografií a videí oběti. Podle výzkumníků, to může být použito za účelem finančního podvodu, krádež identity, vydírání a vydírání (v případě krádeže důvěrných dat).
analytici napsali, že Cyclops Blink má speciální modul určený pro několik modelů Trojan SharkBot Android Krade kryptoměny a hackuje bankovní účty, a také to AbstractEmu malware pro Android „rootuje“ smartphony a vyhýbá se detekci.