
Kötü amaçlı yazılım ve kimlik avı iki farklı siber saldırı türü olsa da, tehdit aktörleri bazen kötü amaçlı kampanyalarda her iki yöntemi de kullanır. Roaming Mantis olarak bilinen bir tehdit aktörü, siber güvenlik firması SEKOIA’daki araştırmacılar tarafından belgelenen yeni bir kampanyada tam olarak bunu yapıyor gibi görünüyor. Roaming Mantis daha önce Japonya, Güney Kore, Tayvan, Almanya, Fransa, Birleşik Krallık ve ABD’deki kullanıcıları hedefleyerek XLoader olarak da bilinen MoqHao Android kötü amaçlı yazılımını dağıtmıştı. Araştırmacılar, bu yeni kampanyanın Fransız kullanıcılara ait yaklaşık 70.000 Android cihazın güvenliğini ihlal ettiğini tahmin ediyor.
Son zamanlarda İtalyan kullanıcıları hedefleyen bir casus yazılım kampanyasına benzer şekilde, kampanyanın öldürme zinciri, Fransa’nın +33 ülke koduyla başlayan telefon numaralarına gönderilen bir SMS mesajıyla başlıyor. Metin mesajı, alıcılara gözden geçirilmesi gereken bir paketin gönderildiğini bildirir. Mesaj, belirli koşullara bağlı olarak kullanıcıları farklı hedeflere yönlendiren kötü amaçlı bir bağlantı içerir. Kullanıcının IP adresi Fransa dışındaki bir yere karşılık geliyorsa, kullanıcıya bir 404 hatası gönderilir ve saldırı zamanından önce sonlandırılır.

Ancak, kullanıcının bir Fransız IP adresi varsa, kötü amaçlı sunucu mobil cihazın işletim sistemini algılar. iOS çalıştıran bir Apple cihazı söz konusu olduğunda, sunucu kurbanı Fransızca Apple Kimliği oturum açma sayfasını taklit eden bir kimlik avı sayfasına gönderir. Bu sayfaya girilen tüm Apple Kimliği kullanıcı kimlik bilgileri, daha sonra kullanılmak üzere Roaming Mantis tehdit aktörü tarafından alınır.
Kurbanın telefonu Android çalıştırıyorsa, sunucu kurbanı bir uyarı görüntüleyen ve bir APK dosyası indirmeye çalışan bir sayfaya yönlendirir. Kurban APK dosyasını çalıştırır ve bilinmeyen kaynaklardan uygulama yüklemeye karşı koruma sağlayan Android korumalarını devre dışı bırakırsa, Chrome tarayıcısını taklit eden kötü amaçlı bir uygulama yükler ve kurbanlardan buna kapsamlı izinler vermesini ister. Uygulamada bulunan XLoader kötü amaçlı yazılımı, bir kullanıcı profilinden bir komut ve kontrol (C2) yapılandırması almak için meşru görüntü barındırma hizmeti Imgur’a bağlanır. Kötü amaçlı yazılım daha sonra virüslü cihazdan bilgi çalar ve C2 sunucusuna yükler.
Roaming Mantis, iOS kullanıcılarını hedef alan kimlik avı saldırısı ve Android kullanıcılarını hedef alan kötü amaçlı yazılım saldırısı arasında, çok çeşitli kişisel verilere erişim sağlamanın yanı sıra kurbanların cihazlarıyla uzaktan etkileşime girebilir. Bu hassas veriler ve uzaktan erişim, daha sonra mağdurların veya ilgili işletme ve kurumların gasp edilmesine yardımcı olmak için kullanılabilir.