Roaming Mantis恶意活动分析报告

栏目: IT技术 · 发布时间: 4年前

内容简介:卡巴斯基持续关注分析Roaming Mantis相关网络活动。该组织的攻击方法有所改进,不断在新的攻击目标上窃取资金。攻击者利用白名单和运行环境检测等技术避免被分析溯源。此外还检测到新的恶意软件家族:Fakecop和Wroba.j。2018年该组织在原有域名劫持方法的基础上,增加了一种Wroba.g的传播方法SMiShing,使用的是一家物流公司的虚假交货通知。2019年确认了另一种新方法,利用恶意APK冒充快递公司,例如日本的Sagawa Express、台湾的Yamato Transport和FedEx

卡巴斯基持续关注分析Roaming Mantis相关网络活动。该组织的攻击方法有所改进,不断在新的攻击目标上窃取资金。攻击者利用白名单和运行环境检测等技术避免被分析溯源。此外还检测到新的恶意软件家族:Fakecop和Wroba.j。

传播方式

2018年该组织在原有域名劫持方法的基础上,增加了一种Wroba.g的传播方法SMiShing,使用的是一家物流公司的虚假交货通知。2019年确认了另一种新方法,利用恶意APK冒充快递公司,例如日本的Sagawa Express、台湾的Yamato Transport和FedEx、韩国的CJ Logistics和俄罗斯的Econ Express。

Roaming Mantis恶意活动分析报告 2020年2月,攻击者利用“为日方冠状病毒问题提供免费口罩”的短信进行攻击。再次说明犯罪分子在活动中总是利用热点话题。

白名单功能

Roaming Mantis在Wroba.g登陆页面(目前仅在朝鲜语页面)中采用了白名单功能,可逃避安全研究人员。 用户访问登录页面时,必须输入电话号码进行确认。 如果电话号码在白名单上,则登录页面会分发恶意app.apk:

Roaming Mantis恶意活动分析报告 混淆技术

Wroba.g加载模块中利用了Multidex混淆技术,Multidex配置允许应用构建和读取多个索引文件。2019年,APK文件中使用Multidex隐藏恶意加载模块,分析表明它正在被一点一点地修改:

Roaming Mantis恶意活动分析报告 用红色正方形标记的类${num}.dex是恶意加载程序模块,所有其他的DEX文件都是垃圾代码。Wroba.g的加密有效负载仍然在assets目录下,可以通过 python 脚本来解密。

目标分析

Wroba.g的目标是日本的运营商和在线银行,攻击者将受害者重定向到钓鱼网站,以窃取凭据:

Roaming Mantis恶意活动分析报告 当恶意软件在受感染设备上检测到日本在线银行或特定移动运营商时,它会在后台连接到pinterest.com的恶意帐户获取钓鱼网站。向受害者推送消息,声称已阻止来自第三方的未经授权的访问,并要求用户单击按钮以确认是否要继续。如果用户单击此按钮,将重定向到假冒网站:

Roaming Mantis恶意活动分析报告 针对在线银行和移动运营商的软件包和其对应的帐户:

Roaming Mantis恶意活动分析报告 从上表可以看出,截至2019年12月,所有账户都有相应的钓鱼网站。攻击者会不断更改这些URL。

最新发现

Roaming Mantis一直使用Wroba.g和Wroba.f作为其主要的安卓恶意软件。2019年4月又发现其他两个恶意软件家族,Wroba.j和Fakecop。这两个恶意软件家族在基础设施、传播方式等方面与其他家族有一些相似之处。在‘ Roaming Mantis: A melting pot of Android bots in Botconf2019 ’中展示了时间表、假冒品牌、恶意软件功能和洗钱方法。

根据检测数据,发现Wroba.j中垃圾短信功能:

Roaming Mantis恶意活动分析报告 恶意软件从短信反馈结果自动创建电话号码列表,该恶意软件还可以检查国际移动用户识别码(IMSI),以识别移动运营商,并将电话号码添加到相关列表中。

Roaming Mantis恶意活动分析报告 根据下面显示的硬编码IMSIs和字符串,攻击者的目标是Docomo和软银移动运营商。

Roaming Mantis恶意活动分析报告 总结

Roaming Mantis以经济利益为目标,并且极力避免被安全人员追踪。它现在正在采用白名单功能来实现这一目标,这个新方法目前只适用于韩语页面,但在其他语言中实现只是时间问题。

该组织非常积极地在Android恶意软件中使用SMiShing,这意味着所有受感染的移动设备可能形成一个僵尸网络,用于恶意软件的传送、用户信息窃取等。

APK MD5

 e6ae4277418323810505c28d2b6b3647 Wroba.g 
 939770e5a14129740dc57c440afbf558 Wroba.f 
 521312a8b5a76519f9237ec500afd534 Wroba.j 
 6d29caaa8b30cc8b454e74a75d33c902 Fakecop 

*参考来源: securelist ,由Kriston编译,转载请注明来自FreeBuf.COM


以上所述就是小编给大家介绍的《Roaming Mantis恶意活动分析报告》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Ruby on Rails实践之路

Ruby on Rails实践之路

沃哈 / 科学 / 2010-5 / 48.00元

《Ruby on Rails实践之路:写给PHP和Java开发者的书》内容简介:Ruby on Rails是基于MVC模式的Web框架,用于开发基于数据库的Web应用。Ruby on Rails中内含了所需的Web服务器WEBrick。该框架配置的数据库除了缺省的MySQL外,还可以是Oracle、SQL Server等其他数据库。《Ruby on Rails实践之路:写给PHP和Java开发者的......一起来看看 《Ruby on Rails实践之路》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具