针对亚洲安卓用户的Roaming Mantis诈骗活动

点击上方蓝字关注我们

概述

自2018年以来，Roaming Mantis诈骗活动开始冒充物流公司发送虚假的交货通知，以窃取亚洲安卓用户的短信消息和联系人列表。2020年下半年，该活动采用动态DNS服务，并传播带有钓鱼地址的消息，以诱使用户下载伪造的Chrome应用程序“MoqHao”。

自2021年1月以来，研究人员发现Roaming Mantis针对日本用户，使用了一种名为SmsSpy的新恶意软件。该恶意软件会根据目标设备使用的操作系统版本，使用不同的变体进行感染。

Smishing钓鱼短信

针对日本的诈骗活动中所使用的钓鱼短信与之前的活动类似，但钓鱼URL的组成部分中多了“post”一词。

图1. 钓鱼短信

该钓鱼短信的内容为：由于本人不在，你的包裹已被带回。请点击以下链接进行确认hxxps://post[.]cioaq[.]com。

另外一个钓鱼短信如图2所示，其要求受害者点击文本中的链接，以验证其[bitFlyer] 账号的异常登录活动。

图2. 另一个钓鱼短信

点击hxxps://bitfiye[.]com后，用户会被重定向到hxxps://post.hygvv[.]com。值得注意的是，重定向的URL也包含“post”，且格式也与图1中的相同。攻击者似乎正在通过这种方式扩大此次钓鱼活动的影响范围。

恶意软件变体

此次Roaming Mantis诈骗活动中，攻击者会根据访问网络钓鱼页面安卓操作系统版本，分发不同的恶意软件。Android OS 10及更高版本，将下载虚假的Google Play应用程序。Android OS 9及更低版本，将下载虚假的Chrome应用程序。

图3. 虚假的Google Play应用程序(Android OS 10及更高版本)

图4. 虚假的Chrome应用程序(Android OS 9及更低版本)

恶意软件行为

该恶意软件的主要目的是从受感染的设备中窃取电话号码和短信消息。运行后，该恶意软件会假装成Chrome或Google Play应用程序，然后请求将其设置为默认的短信应用程序，以读取受害者的联系人列表和短信消息。在最新版本的安卓设备上，该恶意软件会伪装成Google Play提供的安全服务。

图5. 虚假的Chrome应用程序

图6. 虚假的Google Play应用程序

隐藏图标后，该恶意软件会建立WebSocket连接以在后台与攻击者的C2服务器进行通信。默认目标地址嵌入在恶意软件代码中，其中还包含链接信息，以便在需要时更新C2服务器位置。因此，如果未检测到默认服务器，或者没有从默认服务器收到响应，则将从更新链接中获取C2服务器位置。

该恶意软件会将受感染设备上的操作系统版本、电话号码、设备型号、互联网连接类型(4G/Wi-Fi)和唯一设备ID上传到C2服务器。

IoC

C2服务器：

168[.]126[.]149[.]28:7777

165[.]3[.]93[.]6:7777

103[.]85[.]25[.]165:7777

更新链接：

r10zhzzfvj[.]feishu.cn/docs/doccnKS75QdvobjDJ3Mh9RlXtMe

0204[.]info

0130one[.]info

210302[.]top

210302bei[.]top

钓鱼域名：

post.jpostp.com

manag.top

post.niceng.top

post.hygvv.com

post.cepod.xyz

post.jposc.com

post.ckerr.site

post.vioiff.com

post.cioaq.com

post.tpliv.com

posk.vkiiu.com

sagawae.kijjh.com

post.viofrr.com

posk.ficds.com

sagawae.ceklf.com

post.giioor.com

post.rdkke.com

post.japqn.com

post.thocv.com

post.xkdee.com

post.sagvwa.com

post.aiuebc.com

post.postkp.com

post.solomsn.com

post.civrr.com

post.jappnve.com

sp.vvsscv.com

ps.vjiir.com

post.jpaeo.com

t.aeomt.com

文件哈希：

EA30098FF2DD1D097093CE705D1E4324C8DF385E7B227C1A771882CABEE18362

29FCD54D592A67621C558A115705AD81DAFBD7B022631F25C3BAAE954DB4464B

9BEAD1455BFA9AC0E2F9ECD7EDEBFDC82A4004FCED0D338E38F094C3CE39BCBA

D33AB5EC095ED76EE984D065977893FDBCC12E9D9262FA0E5BC868BAD73ED060

8F8C29CC4AED04CA6AB21C3C44CCA190A6023CE3273EDB566E915FE703F9E18E

21B958E800DB511D2A0997C4C94E6F0113FC4A8C383C73617ABCF1F76B81E2FD

7728EF0D45A337427578AAB4C205386CE8EE5A604141669652169BA2FBA23B30

056A2341C0051ACBF4315EC5A6EEDD1E4EAB90039A6C336CC7E8646C9873B91A

054FA5F5AD43B6D6966CDBF4F2547EDC364DDD3D062CD029242554240A139FDB

DD40BC920484A9AD1EEBE52FB7CD09148AA6C1E7DBC3EB55F278763BAF308B5C

FC0AAE153726B7E0A401BD07C91B949E8480BAA0E0CD607439ED01ABA1F4EC1A

711D7FA96DFFBAEECEF12E75CE671C86103B536004997572ECC71C1AEB73DEF6

FE916D1B94F89EC308A2D58B50C304F7E242D3A3BCD2D7CCC704F300F218295F

3AA764651236DFBBADB28516E1DCB5011B1D51992CB248A9BF9487B72B920D4C

F1456B50A236E8E42CA99A41C1C87C8ED4CC27EB79374FF530BAE91565970995

77390D07D16E6C9D179C806C83D2C196A992A9A619A773C4D49E1F1557824E00

49634208F5FB8BCFC541DA923EBC73D7670C74C525A93B147E28D535F4A07BF8

B5C45054109152F9FE76BEE6CBBF4D8931AE79079E7246AA2141F37A6A81CBA3

85E5DBEA695A28C3BA99DA628116157D53564EF9CE14F57477B5E3095EED5726

53A5DD64A639BF42E174E348FEA4517282C384DD6F840EE7DC8F655B4601D245

80B44D23B70BA3D0333E904B7DDDF7E19007EFEB98E3B158BBC33CDA6E55B7CB

797CEDF6E0C5BC1C02B4F03E109449B320830F5ECE0AA6D194AD69E0FE6F3E96

691687CB16A64760227DCF6AECFE0477D5D983B638AFF2718F7E3A927EE2A82C

C88C3682337F7380F59DBEE5A0ED3FA7D5779DFEA04903AAB835C959DA3DCD47

END

好文！必须在看

本文始发于微信公众号（SecTr安全团队）：针对亚洲安卓用户的Roaming Mantis诈骗活动