เมนู

ROAMING MANTIS

Mantis Full

มุ่งโจมตีทั้งผู้ใช้งาน Android และ iOS แบบ Smishing (SMS phishing)

19 กรกฎาคม 2565

🦗 Roaming Mantis มีข่าวในการโจมตีประเทศต่างๆ ไม่ว่าจะเป็นเยอรมนี ไต้หวัน เกาหลีใต้ ญี่ปุ่น สหรัฐอเมริกา และสหราชอาณาจักร ล่าสุดได้มุ่งเป้าหมายไปยังผู้ใช้งาน Android และ iOS ในประเทศฝรั่งเศส ซึ่งอาจส่งผลกระทบต่ออุปกรณ์หลายหมื่นเครื่องในทวีปยุโรปช่วงเดือนกุมภาพันธ์ที่ผ่านมา ผู้โจมตีจะใช้วิธีการสื่อสารผ่านทาง SMS เพื่อหลอกให้ผู้ใช้ทำการดาวน์โหลดมัลแวร์ไปติดตั้งบนอุปกรณ์ Android ของตนเอง แต่ถ้าหากผู้ใช้งาน iOS ผู้โจมตีจะทำการเปลี่ยนเส้นทางไปยังหน้า phishing สำหรับข้อมูลประจำตัวของผู้ใช้ Apple
 
🕵️‍♀️ รายงานจากนักวิจัย SEKOIA ได้เปิดเผยว่ากลุ่ม Roaming Mantis ได้ทำการปล่อยข้อมูล XLoader (MoqHao) ลงในอุปกรณ์ Android ซึ่งเป็นมัลแวร์ที่มีประสิทธิภาพสูงในการทำงานต่างๆ เช่น การเข้าถึงจากระยะไกล การขโมยข้อมูล และการส่งสแปมผ่านทาง SMS  📩
 

💥 จากการที่ Roaming Mantis กำลังดำเนินการโจมตีไปที่ผู้ใช้ชาวฝรั่งเศส และเริ่มต้นการโจมตีด้วยการส่ง SMS ข้อความเกี่ยวกับเรื่องของการส่งพัสดุ การตรวจรับสิ่งของ และการจัดส่งพัสดุ (หากผู้ใช้อยู่ในฝรั่งเศส และใช้อุปกรณ์ iOS จะนำไปยังหน้า phishing สำหรับข้อมูลประจำตัวของผู้ใช้ Apple แต่ถ้าผู้ใช้ Android ข้อมูลจะถูกชี้ไปยัง Android Package Kit – APK ที่ใช้สำหรับติดตั้งแอพพลิเคชั่นบนมือถือ) หากผู้ใช้อยู่นอกพื้นที่ของ France Roaming Mantis การทำงานจะหยุดลง และแสดงข้อความ 404 Error

 

 

📌 การทำงานของ APK จะเลียนแบบการติดตั้งของ Chome โดยมีการอนุญาตใช้สิทธิ์ที่อาจจะมีความเสี่ยง เช่น การปิดกั้น SMS, การโทร, การอ่าน, การแจ้งเตือน และการเข้าถึงแหล่งที่เก็บข้อมูลรวมถึงบัญชีต่างๆ บนอุปกรณ์ของผู้ใช้งาน ในการกำหนดค่าคำสั่งและการควบคุม (C2) ที่ถูกดึงมาจากปลายทาง Imgur profile แบบฮาร์ดโค้ดโดยใช้รหัส base64 เพื่อหลีกเลี่ยงในการตรวจจับ

 

 

🔎 นักวิจัย SEKOIA ยืนยันว่าพบที่อยู่ของ IP ต่างๆไม่ซ้ำกันมากกว่า 90,000 IP ที่มีการร้องขอไปยัง XLoader ของ C2 server แต่จำนวนผู้ใช้ iOS ที่ได้มีการให้ข้อมูลในส่วนของ Apple iCloud บนหน้า phishing ยังไม่ทราบแน่ชัดว่ามีจำนวนเท่าไหร่ อาจจะมีจำนวนเท่ากันหรือสูงกว่านั้นก็เป็นไปได้

 

 

🧑‍✈️ นักวิจัย SEKOIA ได้ออกมาชี้แจงว่าโครงสร้างพื้นฐานของ Roaming Mantis นั้นไม่ได้มีการเปลี่ยนแปลงไปมากนัก แต่นักวิเคราะห์จากทีม Cymru ได้ออกมาเปิดเผยในช่วงเดือนเมษายนปีที่ผ่านมาว่าใน server ยังพบ port ที่เปิดการใช้งานอยู่ เช่น TCP/443, TCP/5985, TCP/10081 และ TCP/47001  ส่วนโดเมนที่ใช้งาน SMS ได้ลงทะเบียนไว้กับทาง Godaddy หรือ dynamic DNS services เช่น duckdns.org  และยังพบมีการใช้โดเมนอื่นๆมากกว่า 100 โดเมน และ FQDN หลายสิบรายการรวมถึงแก้ไขที่อยู่ IP แต่ละรายการใหม่

แต่สิ่งที่น่าสนใจคือการ smishing (SMS phishing) โดยอาศัย C2 server ที่แยกจาก server XLoader โดยที่นักวิจัยสามารถระบุว่าพบถึง 9 Host บน EHOSTIDC และ VENIANET Autonomous System