Roaming Mantis (он же Shaoye) - это долгосрочная кампания кибератак, которая использует вредоносные файлы пакетов Android (APK) для управления зараженными устройствами Android и кражи данных. В 2022 году "Касперский" заметил функцию смены DNS, реализованную во вредоносной программе Wroba.o для Android.
Еще в 2018 году Касперский впервые заметил деятельность Roaming Mantis, направленную на азиатский регион, включая Японию, Южную Корею и Тайвань. Тогда преступники скомпрометировали Wi-Fi роутеры для использования в перехвате DNS, что является очень эффективной техникой. Она была признана серьезной проблемой как в Японии, так и в Южной Корее. Через мошеннические DNS-серверы все пользователи, обращающиеся к взломанному маршрутизатору, перенаправлялись на вредоносную целевую страницу. С середины 2019 года до 2022 года преступники в основном использовали smishing вместо перехвата DNS для доставки вредоносного URL-адреса в качестве целевой страницы. Целевая страница определяла платформу устройства пользователя, чтобы предоставить вредоносные APK-файлы для Android или перенаправить на фишинговые страницы для iOS. Пользователи с зараженными устройствами Android, подключающиеся к бесплатным или публичным сетям Wi-Fi, могут распространять вредоносное ПО на другие устройства в сети, если сеть Wi-Fi, к которой они подключены, уязвима.
Indicators of Compromise
IPv4
- 103.80.134.40
- 103.80.134.41
- 103.80.134.42
- 103.80.134.48
- 103.80.134.49
- 103.80.134.50
- 103.80.134.51
- 103.80.134.52
- 103.80.134.53
- 103.80.134.54
- 118.160.36.14
- 134.122.137.14
- 134.122.137.15
- 134.122.137.16
- 193.239.154.15
- 193.239.154.16
- 193.239.154.17
- 193.239.154.18
- 193.239.154.22
- 198.144.149.131
- 199.167.138.36
- 199.167.138.38
- 199.167.138.39
- 199.167.138.40
- 199.167.138.41
- 199.167.138.43
- 199.167.138.44
- 199.167.138.45
- 199.167.138.48
- 199.167.138.49
- 199.167.138.51
- 199.167.138.52
- 27.124.36.32
- 27.124.36.34
- 27.124.36.52
- 27.124.39.241
- 27.124.39.242
- 27.124.39.243
- 91.204.227.131
- 91.204.227.132
- 91.204.227.144
- 91.204.227.145
- 91.204.227.146
- 91.204.227.32
- 91.204.227.33
- 91.204.227.39
- 92.204.255.173
Domains
- 1hy5.cwdqh.com
- 3.wubmh.com
- 3y.tmztp.com
- 5.hmrgt.com
- 53th.xgunq.com
- 5c2d.zgngu.com
- 8.ondqp.com
- 9v.tbeew.com
- d.vbmtu.com
- g.dguit.com
- j.vbrui.com
- k.uvqyo.com
- kwdd.cehsg.com
- mh.mgtnv.com
- o.wgvpd.com
- r48.bgxbm.com
- t9o.qcupn.com
- vj.nrgsd.com
- w3.puvmw.com
- xtc9.rvnbg.com
- y.vpyhc.com
URLs
- http://107.148.162.237:26333/sever.ini
MD5
- 2036450427a6f4c39cd33712aa46d609
- 8efae5be6e52a07ee1c252b9a749d59f
- 95a9a26a95a4ae84161e7a4e9914998c
- ab79c661dd17aa62e8acc77547f7bd93
- d27b116b21280f5ccc0907717f2fd596
- f9e43cc73f040438243183e1faf46581