至少自2018年以来,一场以安卓(Android)设备为目标并通过SMS网络钓鱼技术传播移动恶意软件的出于经济动机的活动,首次将触角伸向法国和德国的受害者。
被称为“漫游螳螂”,2021年观察到的最新一连串活动涉及发送包含URL的虚假运输相关文本到登录页面,Android用户从该页面感染称为Wroba的银行木马,而iPhone用户被重定向到一个伪装成苹果官方网站的钓鱼页面。
根据卡巴斯基在2021年7月至2022年1月期间收集的遥测数据,受影响最大的国家是法国、日本、印度、中国、德国和韩国。
该组织还以MoqHao和XLoader的名义进行跟踪(不要与针对Windows和macOS的同名信息窃取恶意软件混淆),该组织的活动在地域上继续扩大,尽管运营者扩大了他们的攻击方法,从苹果设备上挖掘加密货币并逃避检测。
该活动的主要目标是部署Wroba,它既是间谍软件又是银行恶意软件,具有用恶意版本替换合法应用程序和窃取与受害者在线银行账户相关的凭据的能力。
对恶意软件工件的进一步分析表明,编程语言从Java转向Kotlin,并增加了两个新的后门命令,允许Wroba从受感染的设备中窃取画廊和照片。
研究人员说:“一种可能的情况是,犯罪分子从诸如驾驶执照、医疗保险卡或银行卡中窃取详细信息,以签署二维码支付服务或移动支付服务合同。犯罪分子还可以利用偷来的照片以其他方式获取金钱,例如勒索或性勒索。”