La campaña maliciosa Roaming Mantis se expande a Europa a través de smishing

Recomendados:  Demostración de un ataque dirigido a entornos OT Webinar Ciberseguridad industrial, protegiendo las redes IT y OT Leer  Ciberseguridad orientada al futuro Leer

Kaspersky ha descubierto que una campaña maliciosa denominada Roaming Mantis, que anteriormente iba dirigida principalmente a regiones asiáticas, está expandiendo sus infecciones a través de smishing activo a nuevos objetivos en países europeos, como Alemania y Francia.

En abril de 2018, los investigadores de Kaspersky descubrieron por primera vez la campaña Roaming Mantis. En ese momento, estos ciberdelincuentes solo infectaban smartphones Android de usuarios en países asiáticos como Corea del Sur, Bangladesh y Japón. La campaña ha evolucionado significativamente en un corto período de tiempo. Desde 2018, han utilizado varios métodos de ataque como phishing, minería, smishing y secuestro de DNS. El grupo ahora ha ampliado su geografía, agregando países europeos a sus principales regiones objetivo.

Por lo general, los mensajes de smishing empleados contienen una descripción muy corta y una URL a una página de destino. Si un usuario hace clic en el enlace y abre la página de destino, hay dos escenarios en la campaña Roaming Mantis. En el primer escenario, si se trata de un usuario de iOS, se le redirige a una página de phishing que imita el sitio web oficial de Apple y se le pide que ingrese las credenciales.

En el segundo escenario, si es un dispositivo Android, este se infecta con malware después de hacer clic en el enlace en el mensaje de smishing. Luego, el actor comienza a enviar mensajes SMiShing a nuevos objetivos a través del dispositivo infectado, tanto de la lista de contactos del usuario como de los números de teléfono generados. Los mensajes de texto SMS, como un canal de comunicación más personal, también reducen naturalmente las defensas de una persona contra las amenazas, ya que los usuarios generalmente no esperan recibir un mensaje malicioso de las personas que conocen.

El actor configura una función para que siempre verifique la región del dispositivo Android infectado para mostrar una página de phishing en el idioma correspondiente. El uso del idioma nativo de los objetivos permite al actor manipular la toma de decisiones de un usuario y, finalmente, lo convence de compartir su información personal y datos bancarios.

En comparación con las versiones anteriores, el desarrollador agregó comandos de puerta trasera para robar fotos de dispositivos infectados, pero aún no se ha encontrado información sobre cómo usa el actor imágenes robadas. Sin embargo, los ciberdelincuentes a menudo usan fotos personales para obtener dinero a través del chantaje o la sextorsión.

"Roaming Mantis ha evolucionado activamente en los últimos cinco años, ideando nuevas formas de atacar, así como expandiendo el territorio de los países objetivo. Predecimos que estos ataques continuarán en 2022 debido a la fuerte motivación financiera, especialmente con el advenimiento de nuevas características de puerta trasera que permiten al actor usar las fotos de las víctimas”, comenta Suguru Ishimaru, investigador senior de seguridad en el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky.