SmsSpy Malware

Smishing-kampagnen udført af Roaming Mantis-hackergruppen er stadig under udvikling. De primære mål for operationen har været brugere fra asiatiske lande, men nu har hackerne implementeret en ny malware ved navn SmsSpy, der er designet til at inficere japanske brugere specifikt. Hovedmålet med malware-belastningen er at indsamle telefonnumre og SMS-beskeder fra de kompromitterede Android-enheder. Truslen er i stand til at implementere to forskellige versioner, afhængigt af brugerens Android OS-version, hvilket fører til en betydelig stigning i potentielle ofre.

Indledende kompromisvektor

Angrebet begynder med phishing-sms-beskeder, der fører brugerne til en beskadiget webside. Den nøjagtige tekst i den falske besked kan variere, da cyberkriminelle kunne foregive at være et logistikfirma, der har brug for bekræftelse for en vis tjeneste fra brugeren. I et andet scenario advares det angiveligt brugere om problemer med deres bitcoin-konto og bliver bedt om at følge det medfølgende link for at bekræfte deres loginoplysninger.

Phishing-siden kontrollerer derefter Android-versionen af brugerens enhed for at bestemme følgende trin i angrebet. På enheder, der kører Android OS 10 eller nyere, installeres malware-truslen som en falsk Google Play-applikation. For enheder, der bruger Android 9 eller tidligere, downloades en falsk Chrome-applikation i stedet.

Den truende funktionalitet i SmsSpy

Når den er installeret, vil den skadelige applikation anmode om at blive indstillet som standardbeskedapplikationen for enheden for at få adgang til offerets kontakter og SMS-beskeder. Meddelelsesskærmen, der vises for brugeren, matcher den version af applikationen, der er downloadet. Google Play-varianten udgør som en sikkerhedstjeneste, der angiveligt vil give beskyttelse mod virus, spyware, anti-phishing og spam-mail. Med hensyn til den falske Chrome-applikation advarer den brugere om, at ikke accept af dens tilladelsesanmodninger kan føre til, at applikationen ikke kan starte eller begrænse dens funktioner.

Derefter skjuler SmsSpy sit ikon og forsøger at etablere kommunikation med sin Command-and-Control-server gennem en WebSocket-kommunikation. Standardadressen er integreret i malware-koden, men den har også linkoplysninger, der aktiveres, når C2-serverplaceringen skal opdateres. C2-serverne er normalt skjult på brugerprofilsiden af en blogtjeneste, men nogle eksempler er også blevet observeret for at bruge en kinesisk online dokumenttjeneste til det samme formål.

Under det første håndtryk sender SmsSpy-malware systemoplysninger om den inficerede enhed, inklusive Android OS-version, telefonnummer, enhedsmodel, et unikt enheds-id og internetforbindelsestype. Truslen går derefter ind i en lyttefunktion, hvor den ligger i dvale, mens den venter på indkommende kommandoer. Angriberne kan exfiltrere hele kontaktbogen og SMS-beskeder, sende og slette SMS-beskeder og mere.