Пользователей Android и iOS атакуют смишеры Roaming Mantis

Татьяна Никитина 19 Июля 2022 - 08:50

Домашние пользователи

...

С начала текущего месяца эксперты SEKOIA фиксируют всплеск активности группировки Roaming Mantis на территории Франции. Злоумышленники рассылают СМС-сообщения, нацеленные на загрузку трояна на Android-устройства и сбор Apple ID с помощью фишинговой страницы.

Криминальная группа Roaming Mantis, предположительно китайского происхождения, действует в интернете с 2018 года, атакуя мобильные устройства по всему миру. Вначале для привлечения потенциальных жертв на свои сайты мошенники подменяли настройки DNS, но быстро перешли на смишинг — распространение СМС с вредоносными ссылками.

Атаки в рамках текущей киберкампании тоже начинаются с СМС: получателю сообщают о неком почтовом отправлении, которое надо отследить и принять. При активации ссылки на сервер Roaming Mantis отправляется HTTP-запрос.

Ответ зависит от местонахождения жертвы и типа ее ОС. Если мобильное устройство расположено за пределами Франции, сервер выдает ошибку 404 (страница не найдена), и атака прекращается. Французам, использующим Android, предлагают обновить браузер, а на самом деле загрузить трояна MoqHao, он же Wroba. Владельцев iPhone с французской пропиской перенаправляют на поддельную страницу регистрации Apple.

Вредонос MoqHao обладает функциями инфостилера и бэкдора; при исполнении он имитирует установку Chrome и запрашивает множество разрешений — на чтение и отправку СМС, совершение звонков, доступ к контактам, истории вызовов, настройкам уведомлений, списку аккаунтов, SD-карте и т. п.

Адрес C2-сервера троян получает с файлообменника Imgur — из профиля, прописанного в коде. Уровень детектирования MoqHao/Wroba на VirusTotal (в рамках текущей кампании) — 27/64 по состоянию на 18 июля.

Наблюдатели из SEKOIA насчитали более 90 тыс. уникальных IP-адресов, подключавшихся к серверу, отдающему Android-зловреда, и смогли удостовериться, что Roaming Mantis в настоящее время сфокусирован на Франции. Количество iOS-юзеров, оставивших ключи к Apple iCloud на фишинговой странице, неизвестно.

Домены, указанные в СМС-сообщениях, зарегистрированы у GoDaddy либо используют сервисы DDNS — такие как duckdns.org. Авторы атак совокупно создали более сотни поддоменов и к каждому IP привязывают десятки имен (FQDN). Примечательно, что для смишинг-атак используются отдельные C2; исследователи выявили девять таких серверов в сетях хостеров EhostIDC (Южная Корея) и Velia.net (входит в GoDaddy Group).

Список IoC, ассоциируемых с новой кампанией Roaming Mantis, опубликован на GitHub. Участники SEKOIA-комьюнити дополняют его по мере поступления новой информации.

Следующая главная новость »

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Апреля 2026 - 10:27

Ошибки конфигурации программ Домашние пользователи

У 7 из 10 смартфонов в России нашли проблемы со скоростью интернета

МегаФон рассказал, с какими проблемами чаще всего сталкиваются современные смартфоны, представленные на российском рынке. С начала 2025 года оператор протестировал более ста моделей разных производителей и выяснил, что даже у новых устройств нередко встречаются типовые технические недочёты.

Самой распространённой проблемой оказалась низкая пропускная способность в сетях 3G и 4G, такой баг обнаружили у 68% протестированных моделей. Иными словами, смартфон просто не может выдать ту скорость передачи данных, которую в теории позволяет сеть оператора.

Почти так же часто, в 65% случаев, специалисты фиксировали ошибки в агрегации несущих частот. Из-за этого устройство не умеет корректно объединять сигналы в один высокоскоростной канал, а пользователь в итоге получает более медленный интернет, чем мог бы.

Ещё одна массовая проблема связана с отображением «Визитки» при входящих звонках. Такие недочёты нашли у 60% смартфонов. Это особенно чувствительно сейчас, когда маркировка звонков для юридических лиц стала обязательной. На практике баги выглядят так: на экране появляются нечитаемые символы или слишком длинное название компании показывается без прокрутки, так что понять, кто звонит, бывает непросто.

У 40% протестированных гаджетов обнаружились проблемы с настройкой APN — из-за этого устройство может не подключаться к сети автоматически. Столько же моделей получили замечания по локализации интерфейса: где-то перевод на русский язык оказался некачественным, а где-то его вообще не было в отдельных разделах меню.

Кроме того, почти треть устройств (31%) показали проблемы со стабильностью при высокой нагрузке. А в четверти тестов специалисты выявили отклонения по гарантированной скорости передачи данных. Такой недочёт особенно заметен там, где нужна стабильная связь: во время видеозвонков, стриминга или работы с облачными сервисами.

Ещё в 14% случаев зафиксировали повышенный уровень ошибок блоков при передаче данных. Это уже напрямую влияет на качество соединения: растут потери пакетов, контент загружается медленнее, а дополнительная нагрузка ложится не только на конкретное устройство, но и на инфраструктуру оператора в целом.

В МегаФоне подчёркивают, что тестирование идёт не только в сетях 3G и LTE, но и в 5G. Такой подход нужен, чтобы возможные проблемы находили заранее — ещё до того, как стандарт пятого поколения начнёт использоваться массово.

По словам руководителя центра по исследованию и тестированию абонентского оборудования МегаФона Александра Джаконии, оператор старается выстраивать системную работу с вендорами и добиваться устранения недостатков ещё до выхода устройств на рынок. После исправлений смартфоны проходят повторные проверки, и иногда для стабильной работы в российских сетях требуется несколько итераций.

Российские платформы для обмена файлами: что реально работает?
Регистрируйтесь на эфир!