От роутеров к фишингу
Фишинговая группировка Roaming Mantis, долгое время атаковавшая жителей азиатских стран и России, принялась за пользователей в Европе.
Roaming Mantis былавыявлена в 2018 г. Ее первой акцией стал серийный взлом роутеров в Японии, в результате чего пользователей переадресовывали на скомпрометированные веб-сайты для последующей кражи реквизитов доступа. Группировка также практикует фишинговые рассылки SMS для установки вредоносных приложений Android в виде APK-файлов. Эти приложения маскируются под легитимные, такие как Google Chrome.
Как выяснили эксперты «Лаборатории Касперского», злоумышленники создали большое количество вредоносных сайтов на английском, корейском, упрощенном китайском и японском языках. Большинство жертв — жители Бангладеша, Японии и Южной Кореи.
Позднее запущенная Roaming Mantis волна SMS-фишинга оказалась нацеленной на жителей России, Японии, Индии, Бангладеша, а также Казахстана,Азербайджана, Ирана и Вьетнама.
Фишинговая кампания Roaming Mantis переключилась с Азии на Европу
С апреля 2019 г. злоумышленники Roaming Mantis задействовали новую лендинговую страницу, нацеленную на пользователей устройств под iOS. Цель: обманом заставить пользователей установить вредоносные настройки iOS, которые позволяли бы фишинговому сайту собрать информацию с целевого устройства при его посещении.
Окно в Европу
Теперь жертвами становятся жители Франции и Германии. Против них злоумышленники используют троянец Wroba. Атака начинается с SMS-сообщения, содержащего ссылку на вредонос, если жертва использует Android, или фишинговую страницу, если жертва использует устройство под iOS.
По данным «Лаборатории Касперского», разные вариации Wroba обнаружены во множестве регионов. Больше всего затронуты Франция, Япония, Индия, Китай, Германия и Корея.
«Железо как сервис» на площадке заказчика: нюансы выбора техника
Судя по карте, Франция и Япония — в лидерах по количеству заражений. В зависимости от страны, Wroba выдает себя за разные приложения. Например, во Франции, Германии, Турции и США — за Google Chrome, в Японии — за Yamato Transport.
Эксперты также отмечают, что авторы вредоносной кампании подвергли весьма массивной обфускации скрипт во вредоносной лендинговой странице, чтобы избежать его анализа.
Плюс к этому в последнее время расширилась функциональность вредоноса и сам по себе он был переписан на языке Kotlin (вместо прежней Java).
«Google в 2019 г. объявил Kotlin предпочтительным языком разработки приложений подAndroid из соображений оптимизации и совместимости с Java, — отмечает Алексей Водясов, технический директор компании SEQ. — То, что и создатели вредоносов под мобильные ОС решили использовать этот язык, вполне закономерно и указывает на то, что авторы Wroba — весьма профессиональные программисты. Это едва ли будет хорошей новостью для их потенциальных жертв, в особенности для пользователей iOS, большинство из которых считает себя защищенными по умолчанию».
