SmsSpy Malware

De smishing-campagne van de hackergroep Roaming Mantis is nog in ontwikkeling. Het primaire doelwit van de operatie waren gebruikers uit Aziatische landen, maar nu hebben de hackers een nieuwe malware geïmplementeerd genaamd SmsSpy die is ontworpen om specifiek Japanse gebruikers te infecteren. Het belangrijkste doel van de malware-stam is het verzamelen van telefoonnummers en sms-berichten van de gecompromitteerde Android-apparaten. De dreiging kan twee verschillende versies implementeren, afhankelijk van de Android OS-versie van de gebruiker, wat leidt tot een aanzienlijke toename van het aantal potentiële slachtoffers.

Eerste compromis Vector

De aanval begint met phishing-sms-berichten die gebruikers naar een beschadigde webpagina leiden. De exacte tekst van het nepbericht kan variëren, aangezien de cybercriminelen zich kunnen voordoen als een logistiek bedrijf dat bevestiging nodig heeft voor een bepaalde service van de gebruiker. In een ander scenario worden gebruikers zogenaamd gewaarschuwd voor problemen met hun bitcoin-account en worden ze geïnstrueerd om de verstrekte link te volgen om hun inloggegevens te verifiëren.

De phishingpagina controleert vervolgens op de Android-versie van het apparaat van de gebruiker om de volgende stappen van de aanval te bepalen. Op apparaten met Android OS 10 of hoger wordt de malwarebedreiging ingezet als een nep-Google Play-applicatie. Voor apparaten met Android 9 of eerder wordt in plaats daarvan een nep-Chrome-applicatie gedownload.

De bedreigende functionaliteit van SmsSpy

Na installatie zal de schadelijke applicatie vragen om in te stellen als de standaard berichtentoepassing voor het apparaat om toegang te krijgen tot de contacten en sms-berichten van het slachtoffer. Het meldingsscherm dat aan de gebruiker wordt weergegeven, komt overeen met de versie van de applicatie die is gedownload. De Google Play-variant doet zich voor als een beveiligingsdienst die zogenaamd bescherming biedt tegen virussen, spyware, antiphishing en spam. Wat betreft de nep-Chrome-applicatie, het waarschuwt gebruikers dat het niet accepteren van zijn toestemmingsverzoeken ertoe kan leiden dat de applicatie niet kan starten of zijn functies beperkt.

Daarna zal SmsSpy zijn pictogram verbergen en proberen communicatie tot stand te brengen met zijn Command-and-Control-server via een WebSocket-communicatie. Het standaardadres is ingebed in de malwarecode, maar het bevat ook koppelingsinformatie die wordt geactiveerd wanneer de C2-serverlocatie moet worden bijgewerkt. De C2-servers zijn meestal verborgen op de gebruikersprofielpagina van een blogservice, maar er is ook waargenomen dat sommige voorbeelden een Chinese online documentservice voor hetzelfde doel gebruiken.

Tijdens de eerste handshake stuurt de SmsSpy-malware systeemdetails over het geïnfecteerde apparaat, inclusief de Android OS-versie, telefoonnummer, apparaatmodel, een unieke apparaat-ID en internetverbindingstype. De dreiging zal dan in een luistermodus gaan, waar hij inactief blijft terwijl hij wacht op binnenkomende commando's. De aanvallers kunnen het volledige contactenboek en sms-berichten exfiltreren, sms-berichten verzenden en verwijderen en meer.