Eksperci z firmy Kaspersky odkryli, że kampania cyberprzestępcza Roaming Mantis, która wcześniej wymierzona była głównie w regiony azjatyckie, rozszerza zasięg swoich infekcji poprzez aktywne atakowanie nowych celów w Niemczech oraz Francji za pośrednictwem phishingu SMS-owego (tzw. smishing).
W takim schemacie użytkownicy są atakowani za pośrednictwem phishingowych wiadomości tekstowych oraz przekierowywani do szkodliwej zawartości). Osoby stojące za wspomnianą kampanią rozprzestrzeniają szkodliwe oprogramowanie mobilne oraz strony phishingowe w celu gromadzenia prywatnych informacji oraz kradzieży pieniędzy. Zainfekowane urządzenie wysyła następnie wiadomości do kolejnej grupy celów, np. do osób z listy kontaktów ofiary.
Badacze z firmy Kaspersky wykryli kampanię Roaming Mantis w kwietniu 2018 r. Wówczas ugrupowanie to infekowało wyłącznie smartfony z systemem Android i atakowało głównie regiony azjatyckie (Korea Południowa, Bangladesz i Japonia). W krótkim czasie kampania ta znacząco ewoluowała, wykorzystując rozmaite metody ataków. Obecnie zasięg geograficzny działań uległ rozszerzeniu: wśród atakowanych regionów znalazły się również państwa europejskie.
Wiadomości typu smishing zawierają zwykle bardzo krótki opis oraz adres URL strony docelowej. Jeśli użytkownik kliknie odsyłacz i otworzy stronę, zostanie zrealizowany jeden ze scenariuszy kampanii Roaming Mantis. W pierwszym z nich, jeśli będzie to użytkownik systemu iOS, zostanie on przekierowany na stronę phishingową imitującą oficjalną stronę internetową firmy Apple oraz nakłoniony do podania danych uwierzytelniających (Apple ID). W drugim scenariuszu urządzenie z systemem Android zostanie zainfekowane przez szkodliwe oprogramowanie po kliknięciu przez użytkownika odsyłacza zawartego w wiadomości. Następnie, za pośrednictwem zainfekowanego urządzenia, wiadomości smishingowe będą wysyłane do nowych celów, zarówno tych z listy kontaktów ofiary, jak i wygenerowanych numerów telefonu. Wiadomości SMS postrzegane są jako bardziej personalne, dlatego w naturalny sposób osłabiają czujność użytkowników wobec zagrożeń, gdyż zwykle nie spodziewają się oni otrzymać szkodliwej wiadomości od osób, które znają. Kampania Roaming Mantis wymierzona w użytkowników systemów iOS oraz Android we Francji oraz Niemczech była tak intensywna, że policja oraz lokalne media opublikowały ostrzeżenia przed atakami typu smishing.
Cybergang przygotował funkcję, która zawsze sprawdza region zainfekowanego urządzenia z systemem Android w celu wyświetlania strony phishingowej w odpowiednim języku. W poprzednich wersjach mechanizm ten był wykorzystywany do sprawdzania wyłącznie trzech regionów: Hongkongu, Taiwanu oraz Japonii. Eksperci z firmy Kaspersky zaobserwowali aktualizację w najnowszej wersji modułu zawierającego szkodliwą funkcję: teraz lista sprawdzanych regionów zawiera również Niemcy oraz Francję. Posługując się rodzimym językiem atakowanych użytkowników, cyberprzestępcy mogą manipulować ich decyzjami i ostatecznie przekonać do ujawnienia swoich informacji osobowych oraz szczegółów bankowych.
W stosunku do wcześniejszych wersji pojawiła się również nowa modyfikacja w poleceniach szkodliwego kodu. Twórca dodał polecenia kradzieży zdjęć z zainfekowanych urządzeń, jednak jak dotąd nie udało się ustalić, w jaki sposób ugrupowanie wykorzystuje skradzione materiały. W przypadku innych kampanii cyberprzestępcy często wykorzystywali prywatne zdjęcia użytkowników do wyłudzenia pieniędzy poprzez szantaż.
Kampania Roaming Mantis aktywnie ewoluowała na przestrzeni minionych pięciu lat, co przejawia się w nowych sposobach atakowania oraz rozszerzonym zasięgu geograficznym atakowanych państw. Spodziewamy się, że ataki te utrzymają się w 2022 r. ze względu na silną motywację finansową, zwłaszcza po wyposażeniu szkodliwego kodu w nowe funkcje umożliwiające kradzież zdjęć ofiary. Aby zapewnić bezpieczeństwo użytkownikom na całym świecie, nieustannie badamy i informujemy o aktywności Roaming Mantis – powiedział Suguru Ishimaru, starszy badacz z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.
Pełny raport dotyczący nowych faktów na temat kampanii Roaming Mantis znajduje się na stronie https://r.kaspersky.pl/BHYJa.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają następujące działania w celu zabezpieczenia się przed atakami Roaming Mantis:
- Nie otwieraj podejrzanych odsyłaczy przesyłanych za pomocą wiadomości SMS. Nawet jeśli wiadomość nie wygląda podejrzanie, sprawdź domenę adresu URL.
- Nawet jeśli wiadomość lub e-mail pochodzi od jednego z Twoich najlepszych przyjaciół, pamiętaj, że ktoś mógł włamać się do jego urządzenia – zachowaj czujność w każdej sytuacji. Nawet jeśli wiadomość wydaje się niegroźna, traktuj odsyłacze i załączniki z ostrożnością.
- Wiadomości od oficjalnych organizacji, takich jak banki, urzędy skarbowe, sklepy online, biura podróży, linie lotnicze itd. również wymagają dokładnego przyjrzenia się – nawet wewnętrzne wiadomości z Twojego biura. Pamiętaj, że podrobienie wiadomości, tak aby wyglądała na prawdziwą, nie jest trudne.
- Nie instaluj aplikacji mobilnych z niezaufanych źródeł.
- Zainstaluj godne zaufania rozwiązanie bezpieczeństwa i postępuj zgodnie z jego zaleceniami. Takie produkty rozwiążą większość problemów w sposób automatyczny i w razie potrzeby ostrzegą Cię przed niebezpieczeństwem.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.
Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.