新版Roaming Mantis自製「白名單」逃避專家追蹤及分析

在這數年之間 Roaming Mantis (漫遊螳螂) 持續活躍,它為了金錢而也不斷改良及創新攻擊方法的目標也十分清晰,最新的版本就聚焦在逃避追蹤和分析的技術,更反過來使用播毒白名單,分析環境偵測等技術。

Wroba.g 版本冒充品牌 SMS 釣魚
早在 2018 年該組織已在傳統的 DNS 騎劫之上,加入 Wroba.g 的傳播方法 (又名 Moqhao 和 XLoader),它會發送釣魚 SMS 短訊訛稱是送遞公司。在 2019 年卡巴斯基實驗室確認到另一個新法法,一個惡意的 APK 檔案圖標冒充成知名的速遞公司品牌,而該圖標是因應目標所在的國家而專門認計,例如日本就是Sagawa Express、台灣是 Yamato Transport 和 FedEx、南韓是 CJ Logistics、俄羅斯則是 Econt Express。

緊貼社會狀態行騙
於 2020 年 2 月,根據 Japan Cybercrime Control Center (JC3) 發出的警告,攻擊者在日本更改了釣魚 SMS 短訊的訊息,針對新冠狀病毒事故,發出派發免費口罩的無人收件通知訊息。這再一次證明犯罪份子經常利用社會上的熱門話題來進行他們的犯罪行為。

韓國獨有的 Wroba.g 白名單網頁
Roaming Mantis 在 Wroba.g 網頁上也增加了新功能,具備了白名單逃避保安研究人員,現時只有韓國網頁,當用戶瀏覽該網頁,他們需要輸入自己的電話號碼作核實,如果電話號碼在白名單上,該網頁便會傳播惡意 app.apk。由於該組織習慣首先在韓國推出新的方法,這意味著稍後會有其他語言的行騙網頁,如果真的發生,這將會令研究人員接近無法取得樣子,因為需要犯罪分子的白名單內特定的電話號碼。

Multidex 掩人耳目
一個 DEX 有 64K 的限制,作為解決方法,設定 Multidex 就能建立和讀取複數 DEX 檔案,在 2019 年組織在 APK 檔案內使用 Multidex 來隱藏惡意的傳輸模組,藉此瞞騙分析的工作,根據研究人員的分析,其修改工作逐少逐少地進行,當中除了惡意傳輸的模組以,其他的 DEX 檔案都是垃圾編碼,然而加密的 Wroba.g 仍然能夠透過腳本進行解密。

目標是日本流動電訊商帳單付款及網上銀行
Roaming Mantis 背後的組織一定有強烈的金錢為本目標,在解密後的 Wroba.g 之內,他們瞄準了流動電訊商帳單付款及網上銀行帳戶,使用重新導向到釣魚網站的方法來來盜取帳號資料。當惡意程式偵測到受感染裝置內的日本網上銀行或特定流動電訊商的封包,它便會與寫死在程式內的惡意 pinterest.com 帳號連線去取得釣魚網站和一個警告訊息,訊息聲稱已封鎖第三方未經授權的存取,並要求用戶點擊按鍵確認他們希望繼續,當用戶點擊按鍵,他們便會被重新導引到釣魚網站。

那些作為中間人的 pinterest.com 帳號都有各自的釣魚網站,而目標的網址會持續被攻擊者更改,在 2020 年 1 月仍然有 3 個帳號存在,由於更改釣魚網頁的地址對犯罪份子而言十分輕易,所以即使現時未有相應的釣魚網站,在不久將來再次出現也並不稀奇。

Wroba.j 和 Fakecop 的新進化
Roaming Mantis 有一段長時間使用 Wroba.f 作為主要 Android 平台的惡意程式,直至 去年的 4 月發現到增加了 Wroba.j 和 Fakecop 兩名新「家族成員」,這兩款惡意程式與家族中其他版本有相似的地方,根據收集到的資料,兩款惡意程式的偵測次數十分少,研究人員相信是攻擊者的測試,但最值得注意的地方是 wroba.j 的 SMS 濫發功能。

新功能可以透過濫發 SMS 所得到的反饋結果,自動製作出複雜的電話號碼清單,惡意程式還會檢查 ISMI 去分辨日本的流動電訊商,並把電話號碼加入到濫發名單內,而且根據寫死在程式內的內容,攻擊者似乎是針對著 Docomo 和 Softbank 兩家日本主要流動電訊商。

完整文章及伸延閱讀請瀏覽這裡

資料來源:Securelist

Comments are closed