漫游螳螂金融黑客攻擊法國安卓和iPhone用戶

移動威脅活動跟蹤為漫游螳螂數月前，該公司將目標擴大到歐洲國家，與針對法國手機用戶的新一波妥協有關。

Sekoia在上周發布的一份報告中稱，作為主動惡意軟件操作的一部分，至少有70000臺Android設備被感染。

眾所周知，涉及漫游螳螂的攻擊鏈要么部署一個名為MoqHao（又名XLoader）的銀行特洛伊木馬，要么將iPhone用戶重定向到模仿iCloud登錄頁面的憑證獲取登錄頁面。

Sekoia研究人員說：“MoqHao（又名Wroba，Android的XLoader）是一種Android遠程訪問特洛伊木馬（RAT），具有信息竊取和后門功能，可能通過短信傳播”。

如果收件人位于法國境外，并且設備操作系統既不是Android也不是iOS，通過檢查IP地址和用戶代理字符串確定的因子，服務器設計為使用“404未找到”狀態代碼進行響應。

研究人員指出：“因此，smishing活動是地理隔離的，目的是安裝安卓惡意軟件，或收集蘋果iCloud憑據”。

MoqHao通常使用通過動態DNS服務Duck DNS生成的域作為其第一階段交付基礎設施。此外，惡意應用程序偽裝成Chrome web瀏覽器應用程序，誘騙用戶授予其入侵權限。

間諜軟件特洛伊木馬使用這些權限，提供了與受感染設備遠程交互的途徑，使對手能夠秘密獲取敏感數據，如iCloud數據、聯系人列表、通話記錄、SMS消息等。

Sekoia還評估說，收集的數據可能被用于促進敲詐勒索計劃，甚至被出售給其他威脅行為體牟利。“90000多個獨特的IP地址請求C2服務器分發MoqHao，”研究人員指出。