Kaspersky, daha önce çoğunlukla Asya bölgelerini hedefleyen Roaming Mantis adlı kötü niyetli bir operasyonun Almanya ve Fransa’daki yeni hedefleri aktif olarak smishing (kısa mesajla yapılan phishing) yoluyla enfekte ettiğini keşfetti.
Nisan 2018’de Kaspersky araştırmacıları Roaming Mantis’i ilk kez keşfetti. O zamanlar siber suçlular yalnızca Android akıllı telefonları hedefliyordu ve çoğunlukla Asya bölgelerini (Güney Kore, Bangladeş ve Japonya) hedef alıyordu. Operasyon kısa sürede önemli ölçüde gelişti ve 2018’den beri kimlik avı, madencilik, smishing ve DNS ele geçirme gibi çeşitli saldırı yöntemlerinde kullanılır oldu. Grup şimdi ana hedef bölgelerine Avrupa ülkelerini de ekleyerek coğrafyasını genişletti.
Genel olarak smishing mesajları çok kısa bir açıklama ve bir açılış sayfasının URL’sini içerir. Kullanıcı bağlantıyı tıklar ve açılış sayfasına girerse, Roaming Mantis operasyonu iki senaryodan birini işleme alır. İlk senaryoda kişi iOS kullanıcısıysa, resmi Apple web sitesini taklit eden bir kimlik avı sayfasına yönlendirilir ve kimlik bilgilerini girmeleri istenir. İkinci senaryoda smishing mesajındaki bağlantıya tıklandıktan sonra Android cihaza kötü amaçlı yazılım bulaşır. Ardından saldırgan hem kullanıcının kişi listesinden hem de oluşturulan telefon numaralarından virüslü cihaz aracılığıyla yeni hedeflere SMiShing mesajları göndermeye başlar. Kişisel bir iletişim kanalı olarak SMS metinleri, kullanıcılar genellikle tanıdıklarından kötü niyetli bir mesaj almayı beklemediklerinden kişinin tehditlere karşı savunmasını da doğal olarak düşürür. Fransa ve Almanya’da hem iOS hem de Android kullanıcılarına yönelik bu operasyon o kadar popülerdi ki, polis ve yerel medya SMiShing uyarıları yayınladı.
Saldırgan, bir kimlik avı sayfasını ilgili dilde görüntülemek için virüslü Android cihazının bölgesini kontrol edecek şekilde bir özellik kuruyor. Bu özellik önceki sürümlerde yalnızca üç bölgeyi kontrol etmek için kullanılıyordu: Hong Kong, Tayvan ve Japonya. Kaspersky uzmanları, yük bölümünün en son sürümünde bir güncelleme gözlemledi ve Almanya ve Fransa’nın yeni bölgeler olarak eklendiğini keşfetti. Hedeflerin ana dilini kullanmak, aktörün kullanıcının karar verme sürecini manipüle etmesine izin veriyor ve onları kişisel bilgilerini ve banka ayrıntılarını paylaşmaya ikna ediyor.
Önceki sürümlerle karşılaştırıldığında arka kapı komutlarında yeni bir değişiklik göze çarptı. Geliştirici virüslü cihazlardan fotoğraf çalmak için arka kapı komutları ekledi, ancak çalınan resimleri tam olarak nasıl kullandığına dair bilgi henüz bulunamadı. Ancak siber suçluların şantaj yoluyla para koparmak için kişisel fotoğrafları kullandığı bir gerçek.
