کاربران گوشی های آیفون، اندروید مراقب این برنامه باشند! کلاهبرداری فیشینگ Mantis Roaming Vicious به 10000 نفر رسید
یک برنامه مخرب به نام Roaming Mantis از طریق یک کلاهبرداری فیشینگ از کاربران آیفون و تلفن های اندرویدی پول می دزدد. بیش از 10000 مورد حمله قرار گرفته اند.
کلاهبرداری فیشینگ Roaming Mantis بیش از 10000 کاربر تلفن های آیفون و اندروید را در فرانسه هدف قرار داده است. اعتقاد بر این است که این یک بدافزار با انگیزه مالی است که در فوریه 2022 شروع به حمله به کاربران اروپایی و سرقت پول آنها کرد. و اکنون مشخص شده است که در فرانسه بسیار فعال است. همانطور که توسط شرکت امنیت سایبری SEKOIA گزارش شده است، گروه Roaming Mantis بدافزار خطرناکی به نام XLoader (MoqHao) را از طریق SMS به دستگاهها ارسال میکند و کاربران را فریب میدهد تا برنامههای حاوی بدافزار را در دستگاههای اندرویدی خود دانلود کنند. کاربران آیفون برای اطلاعات کاربری اپل به یک صفحه فیشینگ هدایت می شوند. این گزارش میگوید که این بدافزار میتواند از راه دور دسترسی داشته باشد و همچنین پیامهای هرزنامه ارسال میکند.
چگونه این کلاهبرداری فیشینگ Mantis رومینگ به کاربران حمله می کند؟
SEKOIA به اشتراک گذاشت که کمپین Roaming Mantis ابتدا یک پیامک برای کاربران هدف ارسال می کند و از آنها می خواهد که URL را دنبال کنند. پیام حاوی اطلاعاتی در مورد بسته ای است که برای آنها ارسال شده است و کاربران باید بررسی و ترتیب تحویل آن را بدهند. و اگر کاربران از iPhone یا سایر دستگاههای iOS استفاده میکنند، به صفحه فیشینگ هدایت میشوند که اعتبار کاربران اپل را میدزدد، در حالی که کاربران Android به سایتی هدایت میشوند که فایل نصب کننده برنامه تلفن همراه (Android Package Bundle – APK ) را ارائه میدهد.
APK با درخواست مجوز برای دسترسی به پیامک، تماسهای تلفنی، خواندن و نوشتن حافظه، مدیریت هشدارهای سیستم، دریافت فهرستی از حسابها و موارد دیگر، نصب Chrome را تقلید میکند. پس از اینکه مجوزها توسط قربانیان بی گناه و بی احتیاط داده شد، بدافزار وارد گوشی می شود و تمام داده های مهم را می دزدد. مجوز Apple iPhone به Roaming Mantis به دادههای سیستم محلی مانند کارت SD، برنامهها، پیامها یا لیست مخاطبین، پشتیبانگیری iCloud، iMessage، سابقه تماس دسترسی پیدا میکند. حتی به مهاجمان اجازه می دهد تا با دستگاه قربانی تعامل از راه دور برقرار کنند.
SEKOIA همچنین به اشتراک گذاشت که تاکنون بیش از 90000 آدرس IP منحصر به فرد XLoader را از سرور اصلی C2 درخواست کرده اند. این بدان معنی است که استخر قربانیان می تواند بسیار بزرگ باشد. بسیاری در فرانسه به دیگران در مورد این کلاهبرداری فیشینگ در توییتر و وب سایت های فرانسوی هشدار دادند.