Kampanye ancaman seluler dilacak sebagai Belalang Berkeliaran telah dikaitkan dengan gelombang kompromi baru yang ditujukan terhadap pengguna ponsel Prancis, beberapa bulan setelah memperluas penargetannya ke negara-negara Eropa.
Tidak kurang dari 70.000 perangkat Android dikatakan telah terinfeksi sebagai bagian dari operasi malware aktif, kata Sekoia dalam sebuah laporan yang diterbitkan minggu lalu.
Rantai serangan yang melibatkan Roaming Mantis, aktor ancaman China yang bermotivasi finansial, diketahui menyebarkan trojan perbankan bernama MoqHao (alias XLoader) atau mengarahkan pengguna iPhone ke halaman arahan pengambilan kredensial yang meniru halaman login iCloud.
“MoqHao (alias Wroba, XLoader untuk Android) adalah trojan akses jarak jauh (RAT) Android dengan kemampuan mencuri informasi dan pintu belakang yang kemungkinan menyebar melalui SMS,” kata peneliti Sekoia.
Semuanya dimulai dengan SMS phishing, teknik yang dikenal sebagai smishing, memikat pengguna dengan pesan bertema pengiriman paket yang berisi tautan jahat, yang, ketika diklik, melanjutkan untuk mengunduh file APK berbahaya, tetapi hanya setelah menentukan apakah lokasi korban berada dalam bahasa Prancis. perbatasan.
Jika penerima berada di luar Prancis dan sistem operasi perangkat bukan Android atau iOS – faktor yang dipastikan dengan memeriksa alamat IP dan string Agen-Pengguna – server dirancang untuk merespons dengan kode status “404 Tidak ditemukan”.
“Oleh karena itu, kampanye smishing memiliki geofenced dan bertujuan untuk menginstal malware Android, atau mengumpulkan kredensial Apple iCloud,” para peneliti menunjukkan.
MoqHao biasanya menggunakan domain yang dihasilkan melalui layanan DNS dinamis Duck DNS untuk infrastruktur pengiriman tahap pertama. Terlebih lagi, aplikasi jahat menyamar sebagai aplikasi browser web Chrome untuk mengelabui pengguna agar memberikan izin invasif.
Trojan spyware menyediakan jendela jalur untuk interaksi jarak jauh dengan perangkat yang terinfeksi, memungkinkan musuh untuk secara diam-diam memanen data sensitif seperti data iCloud, daftar kontak, riwayat panggilan, pesan SMS, dan lainnya.
Sekoia juga menilai, data yang terkumpul dapat digunakan untuk memfasilitasi skema pungli atau bahkan dijual kepada pelaku ancaman lain untuk mendapatkan keuntungan. “Lebih dari 90.000 alamat IP unik yang meminta server C2 mendistribusikan MoqHao,” catat para peneliti.