Roaming Mantis amplifica la campaña de smishing con malware para Android específico del sistema operativo


La Mantis errante La campaña smishing se ha hecho pasar por una empresa de logística para robar mensajes SMS y listas de contactos de usuarios asiáticos de Android desde 2018. En la segunda mitad de 2020, la campaña mejoró su eficacia al adoptar servicios de DNS dinámicos y difundir mensajes con URL de phishing que infectaron a las víctimas con el aplicación de Chrome falsa MoqHao.

Sin embargo, desde enero de 2021, el equipo de McAfee Mobile Research ha establecido que Roaming Mantis se ha dirigido a los usuarios japoneses con un nuevo malware llamado SmsSpy. El código malicioso infecta a los usuarios de Android utilizando una de dos variantes, según la versión del sistema operativo utilizada por los dispositivos de destino. Esta capacidad de descargar cargas útiles maliciosas basadas en versiones del sistema operativo permite a los atacantes infectar con éxito un panorama potencial mucho más amplio de dispositivos Android.

Técnica de smishing

El mensaje SMS de phishing utilizado es similar al de las campañas recientes, pero la URL de phishing contiene el término "publicación" en su composición.

Mensaje en japonés: Traje tu equipaje porque estabas ausente. por favor confirmar. hxxps: // publicar (.) cioaq (.) com

Fig: Mensaje smishing que se hace pasar por una notificación de una empresa de logística. (Fuente: Gorjeo)

Otro mensaje de smishing pretende ser un operador de Bitcoin y luego dirige a la víctima a un sitio de phishing donde se le pide al usuario que verifique un inicio de sesión no autorizado.

Mensaje en japonés: Existe la posibilidad de un inicio de sesión anormal en su cuenta (bitFlyer). Verifique en la siguiente URL: hxxps: // bitfiye (.) Com

Fig: Mensaje smishing que se hace pasar por una notificación de un operador de bitcoin. (Fuente: Gorjeo)

Durante nuestra investigación, observamos que el sitio web de phishing hxxps: // bitfiye (.) Com redirige a hxxps: //post.hygvv (.) Com. La URL redirigida también contiene la palabra "publicación" y sigue el mismo formato que la primera captura de pantalla. De esta manera, los actores detrás del ataque intentan expandir la variación de la campaña de phishing por SMS al redirigir desde un dominio que se asemeja a una empresa y servicio objetivo.

Descarga de software malicioso

Característica de la plataforma de distribución de malware, se distribuye diferente malware según la versión del sistema operativo Android que accedió a la página de phishing. En Android OS 10 o posterior, se descargará la aplicación Google Play falsa. En dispositivos Android 9 o anteriores, se descargará la aplicación falsa de Chrome.

Mensaje en japonés en el cuadro de diálogo: "Actualiza a la última versión de Chrome para mayor seguridad".

Fig: Aplicación de Chrome falsa para descargar (Android OS 9 o menos)

Mensaje en japonés en el cuadro de diálogo: "(Importante) ¡Actualice a la última versión de Google Play para mayor seguridad!"

Fig: Aplicación falsa de Google Play para descargar (sistema operativo Android 10 o superior)

Debido a que el código del programa malicioso debe cambiarse con cada actualización importante del sistema operativo Android, el autor del malware parece cubrir más dispositivos al distribuir malware que detecta el sistema operativo, en lugar de intentar cubrir un conjunto más pequeño con un solo tipo de malware.

Comportamientos técnicos

El objetivo principal de este malware es robar números de teléfono y mensajes SMS de dispositivos infectados. Una vez que se ejecuta, el malware pretende ser una aplicación de Chrome o Google Play que luego solicita a la aplicación de mensajería predeterminada que lea los contactos y los mensajes SMS de la víctima. Pretende ser un servicio de seguridad de Google Play en el último dispositivo Android. Además, también puede hacerse pasar por un servicio de seguridad en los últimos dispositivos Android. A continuación se muestran ejemplos de ambos.

Mensaje en japonés: “En el primer inicio, se muestra un cuadro de diálogo solicitando permisos. Si no la acepta, es posible que la aplicación no pueda iniciarse o que sus funciones estén restringidas ".

Fig: Solicitud de aplicación de mensajería predeterminada por aplicación de Chrome falsa

Mensaje en japonés: “Secure Internet Security. Tu dispositivo está protegido. La protección contra virus y spyware, la protección antiphishing y la protección del correo no deseado están comprobadas ".

Fig: Solicitud de aplicación de mensajería predeterminada por aplicación falsa de Google Play

Después de ocultar su icono, el malware establece una conexión WebSocket para comunicarse con el servidor de comando y control (C2) del atacante en segundo plano. La dirección de destino predeterminada está incrustada en el código de malware. Además, tiene información de enlace para actualizar la ubicación del servidor C2 en caso de que sea necesario. Por lo tanto, si no se detecta un servidor predeterminado o si no se recibe respuesta del servidor predeterminado, la ubicación del servidor C2 se obtendrá del enlace de actualización.

La familia MoqHao oculta las ubicaciones del servidor C2 en la página de perfil de usuario de un servicio de blog, pero algunas muestras de esta nueva familia utilizan un servicio de documentos en línea chino para ocultar las ubicaciones C2. A continuación se muestra un ejemplo de nuevas ubicaciones de servidor C2 de un documento en línea:

Fig: Ubicación del servidor C2 descrita en el documento en línea

Como parte del proceso de reconocimiento, el malware envía la versión del sistema operativo Android, el número de teléfono, el modelo del dispositivo, el tipo de conexión a Internet (4G / Wi-Fi) y la identificación única del dispositivo en el dispositivo infectado al servidor C2.

Luego, escucha los comandos del servidor C2. La muestra que analizamos admitía los siguientes comandos con la intención de robar números de teléfono en Contactos y mensajes SMS.

Cadena de comando Descripción
通讯录 Enviar todo el libro de contactos al servidor
收件 箱 Enviar todos los mensajes SMS al servidor
拦截 短信 y abrir Comienzo
拦截 短信 & cerrar Detener
发 短信 y Los datos de comando contienen un mensaje SMS y un número de destino, envíelos a través de un dispositivo infectado

Tabla: comandos remotos a través de WebSocket

Conclusión

Creemos que la campaña de smishing en curso dirigida a los países asiáticos utiliza diferentes programas maliciosos móviles como MoqHao, SpyAgent y FakeSpy. Según nuestra investigación, el nuevo tipo de malware descubierto esta vez utiliza una infraestructura y cargas útiles modificadas. Creemos que podría haber varios grupos en los ciberdelincuentes y cada grupo está desarrollando sus infraestructuras de ataque y malware por separado. O podría ser el trabajo de otro grupo que se aprovechó de ciberataques previamente exitosos.

McAfee Mobile Security detecta esta amenaza como Android / SmsSpy y alerta a los usuarios móviles si está presente y los protege aún más de cualquier pérdida de datos. Para obtener más información sobre McAfee Mobile Security, visite https://www.mcafeemobilesecurity.com.

Apéndice – IoC

Servidores C2:

  • 168 (.) 126 (.) 149 (.) 28: 7777
  • 165 (.) 3 (.) 93 (.) 6: 7777
  • 103 (.) 85 (.) 25 (.) 165: 7777

Enlaces de actualización:

  • r10zhzzfvj (.) feishu.cn/docs/doccnKS75QdvobjDJ3Mh9RlXtMe
  • 0204 (.) Información
  • 0130una (.) Información
  • 210302 (.) Arriba
  • 210302bei (.) Arriba

Dominios de phishing:

Dominio Fecha de Registro
post.jpostp.com 15/03/2021
administrar arriba 2021-03-11
post.niceng.top 2021-03-08
post.hygvv.com 2021-03-04
post.cepod.xyz 2021-03-04
post.jposc.com 2021-02-08
post.ckerr.site 2021-02-06
post.vioiff.com 2021-02-05
post.cioaq.com 2021-02-04
post.tpliv.com 2021-02-03
posk.vkiiu.com 2021-02-01
sagawae.kijjh.com 2021-02-01
post.viofrr.com 2021-01-31
posk.ficds.com 2021-01-30
sagawae.ceklf.com 2021-01-30
post.giioor.com 2021-01-30
post.rdkke.com 2021-01-29
post.japqn.com 2021-01-29
post.thocv.com 2021-01-28
post.xkdee.com 2021-01-27
post.sagvwa.com 2021-01-25
post.aiuebc.com 2021-01-24
post.postkp.com 2021-01-23
post.solomsn.com 2021-01-22
post.civrr.com 2021-01-21
post.jappnve.com 2021-01-19
sp.vvsscv.com 2021-01-16
ps.vjiir.com 2021-01-15
post.jpaeo.com 2021-01-12
t.aeomt.com 2021-01-2

Muestra de información de hash:

Picadillo Nombre del paquete Solicitud falsa
EA30098FF2DD1D097093CE705D1E4324C8DF385E7B227C1A771882CABEE18362 com.gmr.keep Cromo
29FCD54D592A67621C558A115705AD81DAFBD7B022631F25C3BAAE954DB4464B com.gmr.keep Google Play
9BEAD1455BFA9AC0E2F9ECD7EDEBFDC82A4004FCED0D338E38F094C3CE39BCBA com.mr.keep Google Play
D33AB5EC095ED76EE984D065977893FDBCC12E9D9262FA0E5BC868BAD73ED060 com.mrc.keep Cromo
8F8C29CC4AED04CA6AB21C3C44CCA190A6023CE3273EDB566E915FE703F9E18E com.hhz.keeping Cromo
21B958E800DB511D2A0997C4C94E6F0113FC4A8C383C73617ABCF1F76B81E2FD com.hhz.keeping Google Play
7728EF0D45A337427578AAB4C205386CE8EE5A604141669652169BA2FBA23B30 com.hz.keep3 Cromo
056A2341C0051ACBF4315EC5A6EEDD1E4EAB90039A6C336CC7E8646C9873B91A com.hz.keep3 Google Play
054FA5F5AD43B6D6966CDBF4F2547EDC364DDD3D062CD029242554240A139FDB com.hz.keep2 Google Play
DD40BC920484A9AD1EEBE52FB7CD09148AA6C1E7DBC3EB55F278763BAF308B5C com.hz.keep2 Cromo
FC0AAE153726B7E0A401BD07C91B949E8480BAA0E0CD607439ED01ABA1F4EC1A com.hz.keep1 Google Play
711D7FA96DFFBAEECEF12E75CE671C86103B536004997572ECC71C1AEB73DEF6 com.hz.keep1 Cromo
FE916D1B94F89EC308A2D58B50C304F7E242D3A3BCD2D7CCC704F300F218295F com.hz.keep1 Google Play
3AA764651236DFBBADB28516E1DCB5011B1D51992CB248A9BF9487B72B920D4C com.hz.keep1 Cromo
F1456B50A236E8E42CA99A41C1C87C8ED4CC27EB79374FF530BAE91565970995 com.hz.keep Google Play
77390D07D16E6C9D179C806C83D2C196A992A9A619A773C4D49E1F1557824E00 com.hz.keep Cromo
49634208F5FB8BCFC541DA923EBC73D7670C74C525A93B147E28D535F4A07BF8 com.hz.keep Cromo
B5C45054109152F9FE76BEE6CBBF4D8931AE79079E7246AA2141F37A6A81CBA3 com.hz.keep Google Play
85E5DBEA695A28C3BA99DA628116157D53564EF9CE14F57477B5E3095EED5726 com.hz.keep Cromo
53A5DD64A639BF42E174E348FEA4517282C384DD6F840EE7DC8F655B4601D245 com.hz.keep Google Play
80B44D23B70BA3D0333E904B7DDDF7E19007EFEB98E3B158BBC33CDA6E55B7CB com.hz.keep Cromo
797CEDF6E0C5BC1C02B4F03E109449B320830F5ECE0AA6D194AD69E0FE6F3E96 com.hz.keep Cromo
691687CB16A64760227DCF6AECFE0477D5D983B638AFF2718F7E3A927EE2A82C com.hz.keep Google Play
C88C3682337F7380F59DBEE5A0ED3FA7D5779DFEA04903AAB835C959DA3DCD47 com.hz.keep Google Play





Enlace a la noticia original