“漫游螳螂”金融黑客瞄准法国 Android 和 iPhone 用户

Hackernews 编译，转载请注明出处：

被追踪为“漫游螳螂”的移动威胁运动与针对法国手机用户的新一波妥协有关，数月前，它将目标扩大到欧洲国家。

Sekoia在上周发布的一份报告中表示，作为活动恶意软件操作的一部分，至少有7万台Android设备被感染。

众所周知，涉及漫游螳螂的攻击链是一种出于经济动机的中国黑客组织，它要么部署一个名为MoqHao（又名XLoader）的银行木马，要么将iPhone用户重定向到模仿iCloud登录页面的凭证获取登录页面。

“MoqHao（又名Wroba，Android的XLoader）是一种Android远程访问木马，具有信息窃取和后门功能，可能通过短信传播。”Sekoia研究人员表示。

这一切都始于网络钓鱼短信，这是一种被称为短信诈骗的技术，通过包含流氓链接的包裹交付主题消息吸引用户，单击后，继续下载恶意APK文件，但前提是要确定受害者的位置是否在法国境内。

如果收件人位于法国境外，并且设备操作系统既不是Android也不是iOS（通过检查IP地址和User-Agent字符串可以确定这一因素），则服务器设计为使用“404未找到”状态代码进行响应。

MoqHao通常使用通过动态DNS服务Duck DNS生成的域作为其第一阶段交付基础架构。更重要的是，恶意应用程序伪装成Chrome网络浏览器应用程序，来诱骗用户授予其入侵权限。

间谍软件特洛伊木马使用这些权限，为与受感染设备进行远程交互提供了途径，使攻击者能够秘密获取敏感数据，例如iCloud数据、联系人列表、通话记录、SMS消息等。

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文