Kötü niyetli operasyon Doğu'dan Batı'ya ilerliyor
Kaspersky, daha önce çoğunlukla Asya bölgesini hedefleyen Roaming Mantis adlı kötü niyetli bir operasyonun Almanya ve Fransa'daki yeni hedefleri aktif olarak smishing (kısa mesajla yapılan phishing) yoluyla enfekte ettiğini keşfetti. Operasyonun arkasındaki aktör, hedeflerin özel bilgilerini toplamak ve paralarını çalmak için mobil kötü amaçlı yazılımları ve kimlik avı sayfalarını yayıyor. Etkilenen cihaz daha sonra kullanıcının kişi listesini ve diğer kaynakları kullanarak bir sonraki hedef grubuna SMiShing mesajları gönderiyor.
Nisan 2018'de Kaspersky araştırmacıları Roaming Mantis'i ilk kez keşfetti. O zamanlar siber suçlular yalnızca Android akıllı telefonları hedefliyordu ve çoğunlukla Asya bölgelerini (Güney Kore, Bangladeş ve Japonya) hedef alıyordu. Operasyon kısa sürede önemli ölçüde gelişti ve 2018'den beri kimlik avı, madencilik, smishing ve DNS ele geçirme gibi çeşitli saldırı yöntemlerinde kullanılır oldu. Grup şimdi ana hedef bölgelerine Avrupa ülkelerini de ekleyerek coğrafyasını genişletti.
Genel olarak smishing mesajları çok kısa bir açıklama ve bir açılış sayfasının URL'sini içerir. Kullanıcı bağlantıyı tıklar ve açılış sayfasına girerse, Roaming Mantis operasyonu iki senaryodan birini işleme alır. İlk senaryoda kişi iOS kullanıcısıysa, resmi Apple web sitesini taklit eden bir kimlik avı sayfasına yönlendirilir ve kimlik bilgilerini girmeleri istenir. İkinci senaryoda smishing mesajındaki bağlantıya tıklandıktan sonra Android cihaza kötü amaçlı yazılım bulaşır. Ardından saldırgan hem kullanıcının kişi listesinden hem de oluşturulan telefon numaralarından virüslü cihaz aracılığıyla yeni hedeflere SMiShing mesajları göndermeye başlar. Kişisel bir iletişim kanalı olarak SMS metinleri, kullanıcılar genellikle tanıdıklarından kötü niyetli bir mesaj almayı beklemediklerinden kişinin tehditlere karşı savunmasını da doğal olarak düşürür. Fransa ve Almanya'da hem iOS hem de Android kullanıcılarına yönelik bu operasyon o kadar popülerdi ki, polis ve yerel medya SMiShing uyarıları yayınladı.
Saldırgan, bir kimlik avı sayfasını ilgili dilde görüntülemek için virüslü Android cihazının bölgesini kontrol edecek şekilde bir özellik kuruyor. Bu özellik önceki sürümlerde yalnızca üç bölgeyi kontrol etmek için kullanılıyordu: Hong Kong, Tayvan ve Japonya. Kaspersky uzmanları, yük bölümünün en son sürümünde bir güncelleme gözlemledi ve Almanya ve Fransa'nın yeni bölgeler olarak eklendiğini keşfetti. Hedeflerin ana dilini kullanmak, aktörün kullanıcının karar verme sürecini manipüle etmesine izin veriyor ve onları kişisel bilgilerini ve banka ayrıntılarını paylaşmaya ikna ediyor.
Önceki sürümlerle karşılaştırıldığında arka kapı komutlarında yeni bir değişiklik göze çarptı. Geliştirici virüslü cihazlardan fotoğraf çalmak için arka kapı komutları ekledi, ancak çalınan resimleri tam olarak nasıl kullandığına dair bilgi henüz bulunamadı. Ancak siber suçluların şantaj yoluyla para koparmak için kişisel fotoğrafları kullandığı bir gerçek.
Kaspersky Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Suguru Ishimaru, şunları söylüyor: "Roaming Mantis son beş yılda aktif olarak gelişti. Saldırı için yeni yollar bulmanın yanı sıra hedeflenen ülkelerin sayısını genişletti. Özellikle saldırganın kurbanların fotoğraflarını kullanmasına izin veren yeni arka kapı özelliklerinin ortaya çıkmasıyla birlikte, güçlü finansal motivasyonun da etkisiyle bu saldırıların 2022'de devam edeceğini tahmin ediyoruz. Dünyanın her yerindeki kullanıcıları güvende tutmak için sürekli olarak en son Roaming Mantis etkinliğini araştırıyor ve rapor ediyoruz."