SmsSpy Malware

Smishing-kampanjen som genomförs av Roaming Mantis-hackargruppen utvecklas fortfarande. De främsta målen för operationen har varit användare från asiatiska länder, men nu har hackarna distribuerat en ny skadlig kod som heter SmsSpy som är utformad för att infektera japanska användare specifikt. Huvudmålet för skadlig programvara är att samla in telefonnummer och SMS från de komprometterade Android-enheterna. Hotet kan distribuera två olika versioner, beroende på användarens Android OS-version vilket leder till en betydande ökning av potentiella offer.

Inledande kompromissvektor

Attacken börjar med nätfiskemeddelanden som leder användare till en skadad webbsida. Den exakta texten på det falska meddelandet kan variera eftersom cyberbrottslingar kan låtsas vara ett logistikföretag som behöver bekräftelse för någon tjänst från användaren. I ett annat scenario varnas användare förmodligen om problem med sitt bitcoin-konto och uppmanas att följa den angivna länken för att verifiera sin inloggningsinformation.

Phishing-sidan söker sedan efter Android-versionen av användarens enhet för att avgöra följande steg i attacken. På enheter som kör Android OS 10 eller senare kommer malwarehotet att distribueras som en falsk Google Play-applikation. För enheter som använder Android 9 eller tidigare hämtas en falsk Chrome-applikation istället.

Den hotfulla funktionen hos SmsSpy

När den är installerad kommer den skadliga applikationen att begära att den ska ställas in som standardapplikationsapplikationen för enheten för att få tillgång till offrets kontakter och SMS-meddelanden. Meddelandeskärmen som visas för användaren matchar den version av applikationen som har laddats ner. Google Play-varianten utgör en säkerhetstjänst som förmodligen kommer att ge skydd mot virus, spionprogram, anti-phishing och skräppost. När det gäller den falska Chrome-applikationen varnar den användare om att inte acceptera dess behörighetsförfrågningar kan leda till att applikationen inte kan starta eller begränsa dess funktioner.

Därefter döljer SmsSpy sin ikon och försöker skapa kommunikation med sin Command-and-Control-server via en WebSocket-kommunikation. Standardadressen är inbäddad i skadlig kod, men den har också länkinformation som aktiveras när C2-serverns plats behöver uppdateras. C2-servrarna är vanligtvis dolda på användarprofilsidan för en bloggtjänst, men vissa prover har också observerats för att använda en kinesisk dokumenttjänst online för samma ändamål.

Under det första handskakningen skickar SmsSpy-skadlig programvara systeminformation om den infekterade enheten, inklusive Android OS-version, telefonnummer, enhetsmodell, ett unikt enhets-ID och internetanslutningstyp. Hotet kommer sedan in i ett lyssningsläge, där det ligger vilande medan det väntar på inkommande kommandon. Angriparna kan exfiltrera hela kontaktboken och SMS-meddelanden, skicka och ta bort SMS-meddelanden och mer.