Một chiến dịch được thúc đẩy tài chính nhắm mục tiêu đến các thiết bị Android và phát tán phần mềm độc hại di động thông qua các kỹ thuật lừa đảo qua SMS kể từ ít nhất là năm 2018, lần đầu tiên đã phát tán các xúc tu tấn công các nạn nhân ở Pháp và Đức.
Được đặt tên là Roaming Mantis, loạt hoạt động mới nhất được quan sát thấy vào năm 2021 liên quan đến việc gửi các văn bản liên quan đến vận chuyển giả mạo có chứa URL đến trang đích mà từ đó người dùng Android bị nhiễm trojan ngân hàng được gọi là Wroba trong khi người dùng iPhone được chuyển hướng đến một trang lừa đảo giả mạo là trang web chính thức của Apple.
Các quốc gia bị ảnh hưởng hàng đầu, dựa trên dữ liệu đo từ xa do Kaspersky thu thập từ tháng 7 năm 2021 đến tháng 1 năm 2022, là Pháp, Nhật Bản, Ấn Độ, Trung Quốc, Đức và Hàn Quốc.
Cũng được theo dõi dưới tên MoqHao và xloader (đừng nhầm với phần mềm độc hại ăn cắp thông tin cùng tên nhắm mục tiêu vào Windows và macOS), hoạt động của nhóm đã tiếp tục mở rộng về mặt địa lý ngay cả khi các nhà khai thác mở rộng các phương pháp tấn công của họ để khai thác tiền điện tử từ Apple thiết bị và tránh bị phát hiện.
Mục tiêu chính của chiến dịch là triển khai Wroba, hoạt động như một phần mềm gián điệp và phần mềm độc hại ngân hàng, với khả năng thay thế các ứng dụng hợp pháp bằng các phiên bản độc hại và lấy cắp thông tin đăng nhập liên quan đến tài khoản ngân hàng trực tuyến của nạn nhân.
Phân tích sâu hơn về các thành phần phần mềm độc hại đã cho thấy sự thay đổi ngôn ngữ lập trình từ Java sang Kotlin và việc bổ sung hai lệnh backdoor mới cho phép Wroba lấy sạch các thư viện và ảnh từ các thiết bị bị nhiễm.
Các nhà nghiên cứu cho biết: “Một kịch bản có thể xảy ra là bọn tội phạm đánh cắp thông tin chi tiết từ những thứ như bằng lái xe, thẻ bảo hiểm y tế hoặc thẻ ngân hàng, để đăng ký hợp đồng với dịch vụ thanh toán mã QR hoặc dịch vụ thanh toán di động”. “Những tên tội phạm cũng có thể sử dụng những bức ảnh bị đánh cắp để lấy tiền theo những cách khác, chẳng hạn như tống tiền hoặc phân đoạn tin nhắn.”
.
