Roaming Mantis smishing kampány
Franciaországban nagyságrendileg 70 000 androidot használó mobiltelefon fertőződött meg egy jelenleg is zajló smishing kampányban. A iPhone tulajok sincsenek biztonságban, csak őket elérő módszerrel érinti a kampány.
A jelenlegi kampány csak a francia felhasználókat érinti, azonban a hasonló az eszközkészletet már azonosították Japánban, Dél-Koreában, Tajvanon, Németországban, Franciaországban, az Egyesült Királyságban és az Egyesült Államokban.
A használt kártékony kód a MoqHao (egyéb ismert nevei: Wroba, XLoader for Android) egy Android távoli hozzáférésű trójai (RAT), információlopási és hátsóajtó-képességekkel, amelyek SMS segítségével terjednek. A Roaming Mantis fenyegetési szereplőnek tulajdonítják, akit kínai, pénzügyileg motvált csoportnak tartanak.
A SEKOIA.IO elemzői 2022 eleje óta figyelik és nyomon követik ezt a fenyegetést.
A kampány egy SMS-el indul, amiben tájékoztatják az ügyfelet valamiről, pl.: csomagja érkezett és a linken kezelheti a kézbesítést. A linken szereplő oldal megvizsgálja, hogy milyen országból érkezett a felhasználó, amennyiben nem francia eldobja egy 404-es hibával. A francia felhasználókat két részre bontja, az iPhone tulajdonosokat egy adathalász oldalra irányítja, ahol próbálja a iCloud hitelesítő adatokat megszerezni. Az Android operációs rendszert használóknak pedig egy APK fájlt tölt le, ami a MoqHao kártékony kódot tartalmazza.