Dopo aver spostato le attività in Europa, il gruppo Roaming Mantis ha avviato una nuova campagna di smishing contro gli utenti Android e iOS. I cybercriminali hanno utilizzato un malware differente, ma lo scopo rimane invariato, ovvero rubare i dati degli utenti e installare una backdoor. Questo tipo di minaccia può essere rilevata e bloccata da tutte le soluzioni di sicurezza sul mercato, tra cui quelle di Bitdefender.
Raming Mantis colpisce ancora
In base alle rilevazioni di Sekoia, l’attacco smishing più recente ha colpito principalmente la Francia con oltre 70.000 dispositivi compromessi. I cybercriminali di origine cinese hanno utilizzato il malware XLoader per Android, un RAT (Remote Access Trojan) che raccoglie le informazioni delle vittime. L’accesso iniziale al dispositivo avviene tramite un SMS contenente un link al file APK che nasconde il malware (il messaggio indica la consegna di un pacco). Nel caso di iOS viene invece visualizzata una pagina di phishing, tramite la quale vengono rubate le credenziali di iCloud.
Il file APK chiede i permessi per leggere e inviare gli SMS, simulando un aggiornamento per Chrome. Se l’utente concede i permessi, XLoader intercetta i messaggi. Il malware può inoltre accedere allo storage (microSD inclusa), alla rubrica e alla cronologia delle chiamate. Tutti i dati sono quindi inviati al server C2C (command and control).
L’infrastruttura di Roaming Mantis è rimasta invariata rispetto alla precedente rilevazione. Ciò indica che le campagne di smishing hanno avuto successo. Gli utenti dovrebbero installare una soluzione di sicurezza che blocca queste minacce, come quelle sviluppate da Bitdefender.