在2018年4月份，卡巴斯基實驗室公開披露了一場代號為“Roaming Mantis（漫步螳螂）”的惡意網路攻擊活動，受害者主要是日本、南韓、中國、印度和孟加拉國的Android使用者。

在這場活動中，攻擊者使用了一種名為“DNS劫持”的攻擊技術來將連線到受感染路由器的受害者重定向到惡意網站，進而誘使受害者下載惡意APP，最終目的是獲取受害者的敏感資訊（包括各種使用者名稱和密碼）。

僅在一個月之後，攻擊者就擴大了攻擊範圍——惡意網頁的HTML原始碼從最初支援的英語、韓語、簡體中文和日語四種語言擴充套件到了包括俄語、德語、義大利語等在內的27種語言。此外，攻擊目標也不再單是Android使用者，還包括了iOS使用者和PC使用者：

針對Android使用者-與之前一樣，惡意網站被用於向受害者提供惡意APP；針對iOS使用者-惡意網站被用於網路釣魚；針對PC使用者-將受害者重定向到嵌有加密貨幣挖礦指令碼的惡意網站。

就在上週，卡巴斯基實驗室再一次公佈了他們有關Roaming Mantis活動的最新調查結果。調查顯示，此活動背後的攻擊者已經改進了他們的攻擊方法，尤其是在惡意軟體的逃殺方面，如目標白名單、環境檢測等。

此外，攻擊者還動用了新的惡意軟體——Fakecop（也被網路安全公司McAfee稱為“SpyAgent”）和Wroba.j（也被網路安全公司Fortinet稱為“Funkybot”）。

Wroba.g開始通過釣魚簡訊傳播

除在2018年使用的DNS劫持之外，攻擊者在近期的行動中還為其主要惡意軟體Wroba.g（又名“Moqhao”和“XLoader”）新增了一種傳播方法，即SMiShing（簡訊釣魚）。

釣魚簡訊所攜帶的惡意連結旨在誘使受害者下載惡意APP，而這些APP大都使用了一些大型快遞公司的圖示，如日本的Sagawa Express、中國臺灣的Yamato Transport和FedEx、南韓的CJ Logistics以及俄羅斯的Econt Express。

圖1.釣魚簡訊示例

日本網路犯罪控制中心（Japan Cybercrime Control Center，JC3）的警告，攻擊者已於2020年2月將釣魚簡訊切換為與“新型冠狀病毒”相關的內容。這也再一次證實，網路犯罪分子普遍喜歡利用熱門話題。

Wroba.g新增白名單功能

當受害者訪問釣魚網站登入頁面時，必須輸入電話號碼後才能進行登入。只有當電話號碼位於白名單中，受害者才會收到下載惡意APP安裝檔案的提示。

圖2.“高仿”CJ Logistics登入頁面

根據卡巴斯基實驗室的說法，這是為了避免安全研究人員拿到惡意APP樣本（只有電話號碼位於白名單中的人才會收到惡意APP安裝檔案）。需要指出的是，目前這種情況僅出現在韓語頁面上。

Wroba.g載入程式模組新增Multidex混淆技巧

眾所周知，Multidex允許應用程式構建成和讀取多個DEX檔案。作為一種混淆技巧，攻擊者在惡意APP安裝檔案中使用了Multidex來隱藏一個惡意載入程式模組。

圖3.隨時間不斷被改進的Multidex混淆技巧

位於紅框中的DEX檔案即是惡意載入程式模組，其他DEX檔案均是垃圾程式碼。

Wroba.g正瞄準手機營業廳和手機銀行APP使用者

當惡意軟體在受感染裝置上檢測到特定的日本手機銀行軟體包或特定的移動運營商手機營業廳軟體包時，它將在後臺連線到一個硬編碼的pinterest.com帳戶，以獲取帶有警告資訊的釣魚網站連結。

在2019年被發現的Wroba.j和Fakecop

此前，Wroba.g和Wroba.f一直被用作Wroba.g和Wroba.f活動的主要惡意軟體。在2019年4月，Wroba.j和Fakecop開始現身。

其中，Wroba.j具有檢查國際移動使用者識別碼（IMSI）的能力，以確保垃圾簡訊只會傳送給特定的受害者（目前僅針對了日本電信運營商Docomo和Softbank）。

結語

顯而易見，Roaming Mantis活動背後的攻擊者具有極強的經濟目的，且一直在為逃避安全研究人員的追蹤而努力。以SMiShing的形式傳播，也就意味著攻擊者可以將所有受感染裝置組成一個殭屍網路，以實現惡意軟體的更大範圍傳播。