Пользователей Android и iOS атакуют смишеры Roaming Mantis

Татьяна Никитина 19 Июля 2022 - 08:50

Домашние пользователи

...

С начала текущего месяца эксперты SEKOIA фиксируют всплеск активности группировки Roaming Mantis на территории Франции. Злоумышленники рассылают СМС-сообщения, нацеленные на загрузку трояна на Android-устройства и сбор Apple ID с помощью фишинговой страницы.

Криминальная группа Roaming Mantis, предположительно китайского происхождения, действует в интернете с 2018 года, атакуя мобильные устройства по всему миру. Вначале для привлечения потенциальных жертв на свои сайты мошенники подменяли настройки DNS, но быстро перешли на смишинг — распространение СМС с вредоносными ссылками.

Атаки в рамках текущей киберкампании тоже начинаются с СМС: получателю сообщают о неком почтовом отправлении, которое надо отследить и принять. При активации ссылки на сервер Roaming Mantis отправляется HTTP-запрос.

Ответ зависит от местонахождения жертвы и типа ее ОС. Если мобильное устройство расположено за пределами Франции, сервер выдает ошибку 404 (страница не найдена), и атака прекращается. Французам, использующим Android, предлагают обновить браузер, а на самом деле загрузить трояна MoqHao, он же Wroba. Владельцев iPhone с французской пропиской перенаправляют на поддельную страницу регистрации Apple.

Вредонос MoqHao обладает функциями инфостилера и бэкдора; при исполнении он имитирует установку Chrome и запрашивает множество разрешений — на чтение и отправку СМС, совершение звонков, доступ к контактам, истории вызовов, настройкам уведомлений, списку аккаунтов, SD-карте и т. п.

Адрес C2-сервера троян получает с файлообменника Imgur — из профиля, прописанного в коде. Уровень детектирования MoqHao/Wroba на VirusTotal (в рамках текущей кампании) — 27/64 по состоянию на 18 июля.

Наблюдатели из SEKOIA насчитали более 90 тыс. уникальных IP-адресов, подключавшихся к серверу, отдающему Android-зловреда, и смогли удостовериться, что Roaming Mantis в настоящее время сфокусирован на Франции. Количество iOS-юзеров, оставивших ключи к Apple iCloud на фишинговой странице, неизвестно.

Домены, указанные в СМС-сообщениях, зарегистрированы у GoDaddy либо используют сервисы DDNS — такие как duckdns.org. Авторы атак совокупно создали более сотни поддоменов и к каждому IP привязывают десятки имен (FQDN). Примечательно, что для смишинг-атак используются отдельные C2; исследователи выявили девять таких серверов в сетях хостеров EhostIDC (Южная Корея) и Velia.net (входит в GoDaddy Group).

Список IoC, ассоциируемых с новой кампанией Roaming Mantis, опубликован на GitHub. Участники SEKOIA-комьюнити дополняют его по мере поступления новой информации.

Следующая главная новость »

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Июня 2026 - 18:52

Корпорации Системы защиты данных от потери Средства защиты от шифровальщиков Positive Technologies

MaxPatrol Endpoint Security 10 восстанавливает файлы после шифровальщиков

Positive Technologies выпустила десятую версию MaxPatrol Endpoint Security — решения для защиты рабочих станций, серверов и других конечных устройств. Одним из главных нововведений стал модуль «Антишифровальщик», предназначенный для восстановления файлов после атак шифровальщиков и вайперов.

Если вредоносная программа зашифровала или удалила данные, новый механизм позволяет вернуть файлы в исходное состояние без дополнительных действий со стороны пользователя.

Такая функция появилась на фоне роста числа атак с использованием шифровальщиков, которые всё чаще приводят к остановке бизнес-процессов и повреждению инфраструктуры.

В новой версии также появились инструменты контроля приложений и подключаемых устройств. Администраторы могут ограничивать использование USB-накопителей и другого внешнего оборудования, а также блокировать нежелательные программы, включая некоторые утилиты удалённого доступа, сторонние VPN-сервисы и мессенджеры.

Ещё одно изменение касается развёртывания системы. Теперь установка агентов может выполняться непосредственно через интерфейс управления без ручного ввода команд, что должно упростить внедрение решения в крупных инфраструктурах.

Разработчики также доработали механизмы самозащиты. По их словам, агент продолжает контролировать систему даже в случаях, когда злоумышленник пытается повысить привилегии до уровня администратора или отключить защитные компоненты.

Изменения затронули и антивирусный движок, который Positive Technologies разрабатывает совместно с компанией «ВИРУСБЛОКАДА». После оптимизации потребление оперативной памяти сократилось примерно на 8%, а в отдельных сценариях скорость проверки файлов выросла на 24%. Также была ускорена проверка .NET-приложений под Windows.

Кроме того, в систему добавили обновлённые механизмы выявления вредоносных скриптов и подозрительных приложений для Windows и Linux. Вместо поиска только известных сигнатур такие алгоритмы позволяют обнаруживать целые семейства вредоносных программ по характерным признакам поведения.

По данным Центра стратегических разработок, рынок решений для защиты конечных устройств продолжает расти. За последний год его доля на российском рынке кибербезопасности увеличилась с 15% до 20%, а объём сегмента достиг примерно 40 млрд рублей.

Кибератака на завод: как избежать простоя и убытков?
Регистрируйтесь на эфир!