Eine finanziell motivierte Kampagne, die seit mindestens 2018 auf Android-Geräte abzielt und mobile Malware über SMS-Phishing-Techniken verbreitet, hat ihre Tentakel erstmals auch auf Opfer in Frankreich und Deutschland ausgeweitet.
Unter dem Namen „Roaming Mantis“ wurden im Jahr 2021 eine Reihe von Aktivitäten beobachtet, bei denen gefälschte Versandtexte verschickt wurden, die eine URL zu einer Landing Page enthielten, von der aus Android-Nutzer mit einem Banking-Trojaner namens Wroba infiziert wurden, während iPhone-Nutzer auf eine Phishing-Seite umgeleitet wurden, die sich als offizielle Apple-Website ausgab.
Die am stärksten betroffenen Länder sind laut den von Kaspersky zwischen Juli 2021 und Januar 2022 gesammelten Telemetriedaten Frankreich, Japan, Indien, China, Deutschland und Korea.
Die Aktivitäten der Gruppe, die auch unter den Namen MoqHao und XLoader (nicht zu verwechseln mit der gleichnamigen Malware für Windows und macOS) bekannt ist, haben sich geografisch weiter ausgedehnt, während die Betreiber ihre Angriffsmethoden erweitert haben, um Kryptowährung von Apple-Geräten zu schürfen und sich der Entdeckung zu entziehen.
Das Hauptziel der Kampagne ist die Verbreitung von Wroba, einer Spionage- und Banking-Malware, die legitime Apps durch bösartige Versionen ersetzt und die Zugangsdaten zu den Online-Bankkonten der Opfer stiehlt.
Weitere Analysen der Malware-Artefakte haben ergeben, dass die Programmiersprache von Java zu Kotlin gewechselt wurde und zwei neue Backdoor-Befehle hinzugefügt wurden, die es Wroba ermöglichen, Galerien und Fotos von infizierten Geräten zu exfiltrieren.
„Ein mögliches Szenario ist, dass die Kriminellen Details von z. B. Führerscheinen, Krankenversicherungskarten oder Bankkarten stehlen, um sich für Verträge mit QR-Code-Zahlungsdiensten oder mobilen Zahlungsdiensten anzumelden“, so die Forscher. „Die Kriminellen sind auch in der Lage, gestohlene Fotos zu nutzen, um auf andere Weise an Geld zu kommen, z. B. durch Erpressung oder Sextortion.“