在2018年4月份,卡巴斯基實驗室公開披露了一場代號為“Roaming Mantis(漫步螳螂)”的惡意網絡攻擊活動,受害者主要是日本、韓國、中國、印度和孟加拉國的Android用戶。
在這場活動中,攻擊者使用了一種名為“DNS劫持”的攻擊技術來將連接到受感染路由器的受害者重定向到惡意網站,進而誘使受害者下載惡意APP,最終目的是獲取受害者的敏感信息(包括各種用戶名和密碼)。
僅在一個月之後,攻擊者就擴大了攻擊範圍——惡意網頁的HTML源代碼從最初支持的英語、韓語、簡體中文和日語四種語言擴展到了包括俄語、德語、意大利語等在內的27種語言。此外,攻擊目標也不再單是Android用戶,還包括了iOS用戶和PC用戶:
- 針對Android用戶-與之前一樣,惡意網站被用於向受害者提供惡意APP;
- 針對iOS用戶-惡意網站被用於網絡釣魚;
- 針對PC用戶-將受害者重定向到嵌有加密貨幣挖礦腳本的惡意網站。
就在上週,卡巴斯基實驗室再一次公佈了他們有關Roaming Mantis活動的最新調查結果。調查顯示,此活動背後的攻擊者已經改進了他們的攻擊方法,尤其是在惡意軟件的逃殺方面,如目標白名單、環境檢測等。
此外,攻擊者還動用了新的惡意軟件——Fakecop(也被網絡安全公司McAfee稱為“SpyAgent”)和Wroba.j(也被網絡安全公司Fortinet稱為“Funkybot”)。
Wroba.g開始通過釣魚短信傳播
除在2018年使用的DNS劫持之外,攻擊者在近期的行動中還為其主要惡意軟件Wroba.g(又名“Moqhao”和“XLoader”)新增了一種傳播方法,即SMiShing(短信釣魚)。
釣魚短信所攜帶的惡意鏈接旨在誘使受害者下載惡意APP,而這些APP大都使用了一些大型快遞公司的圖標,如日本的Sagawa Express、中國臺灣的Yamato Transport和FedEx、韓國的CJ Logistics以及俄羅斯的Econt Express。
圖1.釣魚短信示例
日本網絡犯罪控制中心(Japan Cybercrime Control Center,JC3)的警告,攻擊者已於2020年2月將釣魚短信切換為與“新型冠狀病毒”相關的內容。這也再一次證實,網絡犯罪分子普遍喜歡利用熱門話題。
Wroba.g新增白名單功能
當受害者訪問釣魚網站登錄頁面時,必須輸入電話號碼後才能進行登錄。只有當電話號碼位於白名單中,受害者才會收到下載惡意APP安裝文件的提示。
圖2.“高仿”CJ Logistics登錄頁面
根據卡巴斯基實驗室的說法,這是為了避免安全研究人員拿到惡意APP樣本(只有電話號碼位於白名單中的人才會收到惡意APP安裝文件)。需要指出的是,目前這種情況僅出現在韓語頁面上。
Wroba.g加載程序模塊新增Multidex混淆技巧
眾所周知,Multidex允許應用程序構建成和讀取多個DEX文件。作為一種混淆技巧,攻擊者在惡意APP安裝文件中使用了Multidex來隱藏一個惡意加載程序模塊。
圖3.隨時間不斷被改進的Multidex混淆技巧
位於紅框中的DEX文件即是惡意加載程序模塊,其他DEX文件均是垃圾代碼。
Wroba.g正瞄準手機營業廳和手機銀行APP用戶
當惡意軟件在受感染設備上檢測到特定的日本手機銀行軟件包或特定的移動運營商手機營業廳軟件包時,它將在後臺連接到一個硬編碼的pinterest.com帳戶,以獲取帶有警告信息的釣魚網站鏈接。
該消息聲稱它已阻止來自第三方的未授權訪問,並要求受害者單擊一個按鈕以確認他們選擇繼續操作。如果受害者單擊該按鈕,則將被重定向到釣魚網站:
圖4.硬編碼的pkg名稱、pinterest.com鏈接和虛假警告信息
圖5. 通過惡意pinterest.com帳戶重定向到釣魚網站
在2019年被發現的Wroba.j和Fakecop
此前,Wroba.g和Wroba.f一直被用作Wroba.g和Wroba.f活動的主要惡意軟件。在2019年4月,Wroba.j和Fakecop開始現身。
其中,Wroba.j具有檢查國際移動用戶識別碼(IMSI)的能力,以確保垃圾短信只會發送給特定的受害者(目前僅針對了日本電信運營商Docomo和Softbank)。
圖6.檢查電信運營商Docomo的IMSI
結語
顯而易見,Roaming Mantis活動背後的攻擊者具有極強的經濟目的,且一直在為逃避安全研究人員的追蹤而努力。以SMiShing的形式傳播,也就意味著攻擊者可以將所有受感染設備組成一個殭屍網絡,以實現惡意軟件的更大範圍傳播。
閱讀更多 黑客視界 的文章
